Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

16 Страницы«<13141516>
Опции
К последнему сообщению К первому непрочитанному
Offline Ефремов Степан  
#281 Оставлено : 17 сентября 2020 г. 0:10:10(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Как я понимаю GOST вообще не работает?
А RSA пробовали?
Можно как-то так: /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 443 -v -nocheck

Может:
В конфиге nginx ключ и сертификат друг другу не соответствуют?
В хранилище несколько контейнеров с одинаковым именем?

Ошибиться можно было много где. Рекомендую аккуратно все повторить, если гипотезы не подтвердились)

Отредактировано пользователем 17 сентября 2020 г. 0:20:02(UTC)  | Причина: ADD "-port 443" !!!

Техническая поддержка здесь.
База знаний здесь.
Offline Белая Рысь  
#282 Оставлено : 17 сентября 2020 г. 2:26:09(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
Как я понимаю GOST вообще не работает?
А RSA пробовали?
Можно как-то так: /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 443 -v -nocheck

Может:
В конфиге nginx ключ и сертификат друг другу не соответствуют?
В хранилище несколько контейнеров с одинаковым именем?

Ошибиться можно было много где. Рекомендую аккуратно все повторить, если гипотезы не подтвердились)


Да, судя по всему, с гостом привет:

[root@n1 ~]# /opt/cprocsp/bin/amd64/csptest -tlsc -server localhost -port 8444 -v -nocheck
11 algorithms supported:
Aglid Class OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x6631 0x6000 1.2.643.7.1.1.5.2 (ГОСТ Р 34.12-2015 Кузнечик)
[02] 0x6630 0x6000 1.2.643.7.1.1.5.1 (ГОСТ Р 34.12-2015 Магма)
[03] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[04] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[05] 0x801f 0x8000
[06] 0x803d 0x8000
[07] 0x803c 0x8000
[08] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[09] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[10] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
Transport Layer Security 1.0 client side
Transport Layer Security 1.1 client side
Transport Layer Security 1.2 client side
dwProtocolMask: 0x800e2aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 154
SessionId: (empty)
Cipher Suites: (c1 00) (c1 01) (c1 02) (ff 85) (00 81) (c0 30) (c0 2f) (c0 28) (c0 27) (c0 14) (c0 13) (00 9d) (00 9c) (00 3d) (00 3c) (00 35) (00 2f) (00 0a)
159 bytes of handshake data sent
1344 bytes of handshake data received
275 bytes of handshake data sent
7 bytes of handshake data received
**** Error 0xffffffff80090326 returned by InitializeSecurityContext (2)
/dailybuildsbranches/CSP_5_0r2i/CSPbuild/CSP/samples/csptest/WebClient.c:754:Error performing handshake.
Error 0x80090326: The message received was unexpected or badly formatted.
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.110 sec
[ErrorCode: 0x80090326]

Повторял аккуратно и пошагово.
Касательно конфига NGINX - вот тут хотелось бы поподробнее. Я в конфиге видел только указание сертификата:

ssl_certificate_key engine:gostengy:<cert_hash>;

Ключ, я так понимаю, CryptoPro выковыривает сам, его в NGINX указывать не нужно.
RSA у нас в проекте не используется, поэтому я его не тестировал.
Сейчас попробую сделать что-нибудь плохое. Вдруг поможет.
Offline Белая Рысь  
#283 Оставлено : 17 сентября 2020 г. 4:13:09(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Загадка дня.
Поднял прокси, завернул на него скрипт install-cert.sh - и всё завелось.
Но. У нас не подразумевается использование тестовых сертификатов от CA КриптоПро.
Теперь у меня есть два идентичных сервера. На одном сертификат от install-cert - и всё работает. А на другом - сертификат от того же CA, но полученный вручную - и ничего не работает. :-D Что пошло не так - загадка для археологов.

Уважаемые господа, подскажите, пожалуйста, что я сделал не так в сообщении #275.

Upd: был неправ, простите, был испуган.
Скрипт прикручивает RSA. Так вот. RSA работает. Соответственно, браузеры, которые не понимают гостовое шифрование, нормально работают. А те, которые понимают... Ну, в общем.

This site can’t provide a secure connection
192.168.51.100 sent an invalid response.
Try running Windows Network Diagnostics.
ERR_SSL_PROTOCOL_ERROR

Видимо, NGINX таки собрался криво. Пойду разбираться...

Отредактировано пользователем 17 сентября 2020 г. 6:19:45(UTC)  | Причина: Уточнение теста

Offline Белая Рысь  
#284 Оставлено : 17 сентября 2020 г. 13:29:27(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
И чёрный ящик в студию. ГОСТовое шифрование перестаёт работать после того, как в nginx.conf строку user root; меняем на user nginx;
Offline Ефремов Степан  
#285 Оставлено : 17 сентября 2020 г. 13:34:40(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
В инструкции указано, как проверить, что собрано и установлено все верно, посмотрите в шапке.

В конфиге указать нужно два поля: сертификат (ssl_certificate) и ключ (ssl_certificate_key). Наверно, вы воспроизводите с небольшим отличием от install-certs.sh
Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
Белая Рысь оставлено 20.09.2020(UTC)
Offline Ефремов Степан  
#286 Оставлено : 17 сентября 2020 г. 13:38:01(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 44
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 16 раз в 15 постах
Автор: Белая Рысь Перейти к цитате
И чёрный ящик в студию. ГОСТовое шифрование перестаёт работать после того, как в nginx.conf строку user root; меняем на user nginx;


Да, работать будет только с root)

Хотите от пользователя: мастер процесс и воркер должны быть запущены от одного пользователя (владельца ключей) для гост.

Так же есть вариант с прокси от внешнего на внутренний nginx

Отредактировано пользователем 17 сентября 2020 г. 13:42:32(UTC)  | Причина: Не указана

Техническая поддержка здесь.
База знаний здесь.
thanks 1 пользователь поблагодарил Ефремов Степан за этот пост.
Белая Рысь оставлено 20.09.2020(UTC)
Offline Белая Рысь  
#287 Оставлено : 17 сентября 2020 г. 15:12:36(UTC)
Белая Рысь

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.09.2020(UTC)
Сообщений: 8
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: Ефремов Степан Перейти к цитате
В инструкции указано, как проверить, что собрано и установлено все верно, посмотрите в шапке.

В конфиге указать нужно два поля: сертификат (ssl_certificate) и ключ (ssl_certificate_key). Наверно, вы воспроизводите с небольшим отличием от install-certs.sh


Спасибо, добрый человек. Совсем глаз замылился. Посыпаю голову пеплом, ухожу в женский монастырь.
Но таки работает только под рутом, как Вы и написали. Увы.
Offline lab2  
#288 Оставлено : 21 сентября 2020 г. 18:11:55(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 37
Российская Федерация

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 2 раз в 1 постах
чистая установка вот сейчас последними скриптами (centos7+csp5.0) - все прекрасно работает, однако стоит потребовать клиентcкий сертификат и предъявить его браузером или csptestf -tlsc -cert на самом сервере - сервер возвращает ошибку 400 , а в error.log - client ssl certificate verify error: (7 certificate signature failure) while reading client request headers


csptestf.txt (5kb) загружен 5 раз(а).

Нет "старой" работающей установки под рукой, посмотрю позже, но.. в чем может быть дело, как узнать?

Offline pd  
#289 Оставлено : 21 сентября 2020 г. 18:30:01(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,048
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 168 раз в 146 постах
Автор: lab2 Перейти к цитате
чистая установка вот сейчас последними скриптами (centos7+csp5.0) - все прекрасно работает, однако стоит потребовать клиентcкий сертификат и предъявить его браузером или csptestf -tlsc -cert на самом сервере - сервер возвращает ошибку 400 , а в error.log - client ssl certificate verify error: (7 certificate signature failure) while reading client request headers


csptestf.txt (5kb) загружен 5 раз(а).

Нет "старой" работающей установки под рукой, посмотрю позже, но.. в чем может быть дело, как узнать?


Режим двустороннего TLS в nginx работает, но если хотите проверять клиентские сертификаты средствами nginx + openssl, то это самостоятельное упражнение.

Единственный вариант, как мы видим, использования клиентского сертификата, который логически может работать, это "ssl_verify_client optional_no_ca", тогда вышестоящее приложение берёт на себя ответственность за проверку этого сертификата.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
lab2 оставлено 21.09.2020(UTC)
Offline lab2  
#290 Оставлено : 21 сентября 2020 г. 20:27:11(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 37
Российская Федерация

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 2 раз в 1 постах
Ок, спасибо за оперативный ответ, это было важно услышать.Плохо, конечно, но выбора, пока нет.
Однако, раньше таже конфигурация работала, я поэтому доложил в тему)
Попробую, отпишусь
Спасибо!
Offline lab2  
#291 Оставлено : 22 сентября 2020 г. 12:00:25(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 37
Российская Федерация

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 2 раз в 1 постах
Автор: pd Перейти к цитате

Режим двустороннего TLS в nginx работает, но <..>


Как это сделать/убедиться ?

==
с установленным ssl_verify_client optional_no_ca
анализирую $ssl_client_verify
X_client_verify: FAILED:unable to verify the first certificate
но сам сертификат получаю (для дальнейшей проверки) через $ssl_client_cert

Конечно глаз режет failed, но может есть еще способ убедиться, что двусторонний тлс построен



Offline lab2  
#292 Оставлено : 22 сентября 2020 г. 23:19:33(UTC)
lab2

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.03.2019(UTC)
Сообщений: 37
Российская Федерация

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 2 раз в 1 постах
Видимо ответа быть не может, все уже сказано . Жаль, что гост тяжело внедрять в продукты, будем смотреть в сторону формулярных решений, нгейт и подобных на будущее, но это время и больше для проверки регуляторами, чем для бизнеса
Offline a1eksrulez  
#293 Оставлено : 28 октября 2020 г. 19:22:45(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

Добрый день, подскажите плз, почему когда пробую зайти через браузер Хром гостовый, у меня insecure, CN указал. Ошибка Certificate - Subject Alternative Name missing
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.
Offline pd  
#294 Оставлено : 28 октября 2020 г. 19:35:14(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,048
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 168 раз в 146 постах
Автор: a1eksrulez Перейти к цитате
Добрый день, подскажите плз, почему когда пробую зайти через браузер Хром гостовый, у меня insecure, CN указал. Ошибка Certificate - Subject Alternative Name missing
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.

Ошибка вполне говорящая, если у вас есть контрпример (сайт, который должен работать без ошибок, но работает с ошибкой), то лучше его сразу и предъявить.
Знания в базе знаний, поддержка в техподдержке
Offline a1eksrulez  
#295 Оставлено : 28 октября 2020 г. 20:09:27(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

https://krona-alfabank.srg-test.ru/ можете постучаться на него
Offline pd  
#296 Оставлено : 28 октября 2020 г. 21:34:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,048
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 168 раз в 146 постах
Автор: a1eksrulez Перейти к цитате
https://krona-alfabank.srg-test.ru/ можете постучаться на него

У вас "CN = *.alfabank.srg-test.ru", а вы используете имя сервера "krona-alfabank.srg-test.ru".

Это ошибка, домен третьего уровня не совпадает: alfabank != krona-alfabank

Корректным вариантом мог бы быть например krona.alfabank.srg-test.ru
Знания в базе знаний, поддержка в техподдержке
Offline a1eksrulez  
#297 Оставлено : 29 октября 2020 г. 11:44:28(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
https://krona-alfabank.srg-test.ru/ можете постучаться на него

У вас "CN = *.alfabank.srg-test.ru", а вы используете имя сервера "krona-alfabank.srg-test.ru".

Это ошибка, домен третьего уровня не совпадает: alfabank != krona-alfabank

Корректным вариантом мог бы быть например krona.alfabank.srg-test.ru


Поменял но не помогло.
Offline pd  
#298 Оставлено : 29 октября 2020 г. 12:49:21(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,048
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 168 раз в 146 постах
Автор: a1eksrulez Перейти к цитате
Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
https://krona-alfabank.srg-test.ru/ можете постучаться на него

У вас "CN = *.alfabank.srg-test.ru", а вы используете имя сервера "krona-alfabank.srg-test.ru".

Это ошибка, домен третьего уровня не совпадает: alfabank != krona-alfabank

Корректным вариантом мог бы быть например krona.alfabank.srg-test.ru


Поменял но не помогло.

Вы используете CN = *.srg-test.ru для домена чётвертого уровня krona.alfabank.srg-test.ru -- это ошибка, так как звёздочка распространяется только на 1 уровень поддоменов.

То есть, проверка должна выполнятся для всех доменов третьего уровня (*.srg-test.ru) и для домена второго уровня (srg-test.ru), но ни для одного домена четвёртого уровня.
Знания в базе знаний, поддержка в техподдержке
Offline a1eksrulez  
#299 Оставлено : 29 октября 2020 г. 13:07:46(UTC)
a1eksrulez

Статус: Участник

Группы: Участники
Зарегистрирован: 28.10.2020(UTC)
Сообщений: 10

Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
https://krona-alfabank.srg-test.ru/ можете постучаться на него

У вас "CN = *.alfabank.srg-test.ru", а вы используете имя сервера "krona-alfabank.srg-test.ru".

Это ошибка, домен третьего уровня не совпадает: alfabank != krona-alfabank

Корректным вариантом мог бы быть например krona.alfabank.srg-test.ru


Поменял но не помогло.

Вы используете CN = *.srg-test.ru для домена чётвертого уровня krona.alfabank.srg-test.ru -- это ошибка, так как звёздочка распространяется только на 1 уровень поддоменов.

То есть, проверка должна выполнятся для всех доменов третьего уровня (*.srg-test.ru) и для домена второго уровня (srg-test.ru), но ни для одного домена четвёртого уровня.


Я пересоздал серт и сделал CN=.*srg-test.ru


Открываю https://krona-alfabank.srg-test.ru/ и все равно ругается
Offline pd  
#300 Оставлено : 29 октября 2020 г. 13:31:14(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,048
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 168 раз в 146 постах
Автор: a1eksrulez Перейти к цитате
Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
Автор: pd Перейти к цитате
Автор: a1eksrulez Перейти к цитате
https://krona-alfabank.srg-test.ru/ можете постучаться на него

У вас "CN = *.alfabank.srg-test.ru", а вы используете имя сервера "krona-alfabank.srg-test.ru".

Это ошибка, домен третьего уровня не совпадает: alfabank != krona-alfabank

Корректным вариантом мог бы быть например krona.alfabank.srg-test.ru


Поменял но не помогло.

Вы используете CN = *.srg-test.ru для домена чётвертого уровня krona.alfabank.srg-test.ru -- это ошибка, так как звёздочка распространяется только на 1 уровень поддоменов.

То есть, проверка должна выполнятся для всех доменов третьего уровня (*.srg-test.ru) и для домена второго уровня (srg-test.ru), но ни для одного домена четвёртого уровня.


Я пересоздал серт и сделал CN=.*srg-test.ru


Открываю https://krona-alfabank.srg-test.ru/ и все равно ругается


Нет, более не ругается (возможно, что-то у вас в кэше осталось):

UserPostedImage
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
16 Страницы«<13141516>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.