Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Установка и настройка ванильной версии nginx 1.12.2 с ванильним openssl 1.0.2k c КриптоПро 4.0 R2
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Так для ванильного nginx с ванильным openssl для обеспечения достаточно только вот этих rpm
cprocsp-cpopenssl-base cprocsp-cpopenssl-64 cprocsp-cpopenssl-devel cprocsp-openssl-gost-64.x86_64 lsb-cprocsp-capilite-64 ?
И Какие версии устанавливать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 417 раз в 308 постах
|
Автор: chemtech  Так для ванильного nginx с ванильным openssl для обеспечения достаточно только вот этих rpm
cprocsp-cpopenssl-base cprocsp-cpopenssl-64 cprocsp-cpopenssl-devel cprocsp-openssl-gost-64.x86_64 lsb-cprocsp-capilite-64 ?
И Какие версии устанавливать? Если вы не используете cpopenssl, вам нужен только сам engine, это cprocsp-cpopenssl-gost для 1.0.2 или cprocsp-cpopenssl-110-gost для 1.1.0, другие пакеты с "-cpopenssl-" не нужны. CSP должен быть установлен штатно, расчётом минимально необходимых пакетов мы не занимались. Проще всего это сделать согласно скрипту отсюда: https://www.cryptopro.ru...aspx?g=posts&t=12505 |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Код:yum install cprocsp-cpopenssl-base cprocsp-cpopenssl-64 cprocsp-cpopenssl-devel cprocsp-cpopenssl-gost-64 lsb-cprocsp-capilite-64 lsb-cprocsp-kc2-64
Код:
cp /etc/pki/tls/openssl.cnf{,1}
Код:
cp /var/opt/cprocsp/cp-openssl/openssl.cnf /etc/pki/tls/openssl.cnf
Код:/opt/cprocsp/sbin/amd64/cpconfig -ini \\config\\apppath -add string libcurl.so /usr/local/lib/64/libcurl.so
Код:nginx -V
nginx version: nginx/1.12.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled
Код:openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)
Код:/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP' -rdn 'CN=srvtest' -cont '\\.\HDIMAGE\srvtest' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
CryptCP 4.0 (c) "Crypto-Pro", 2002-2015.
Command prompt Utility for file signature and encryption.
Creating request...
Error: Provider DLL failed to initialize correctly./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:445: 0x8009001D
Error: Provider DLL failed to initialize correctly./dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:990: 0x8009001D
[ErrorCode: 0x8009001d]
Что я сделал неправильно?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Решилось так: Код:По всей видимости неправильно установлен CSP. Попробуйте поставить вручную строго в следующем порядке:
lsb-cprocsp-base
lsb-cprocsp-rdr-64
lsb-cprocsp-capilite-64
lsb-cprocsp-kc1-64
lsb-cprocsp-kc2-64
cprocsp-curl-64
cprocsp-cpopenssl-64
cprocsp-cpopenssl-gost-64
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Код:#Смена KC1 на KC2 в имени провайдера, так как nginx работает с провайдером KC2:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\srvtest' -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC2 CSP" || exit 1
#Экспорт сертификата:
/opt/cprocsp/bin/amd64/certmgr -export -cert -dn "CN=srvtest" -dest '/etc/nginx/srvtest.cer' || exit 1
#Смена кодировкии сертификата DER на PEM:
openssl x509 -inform DER -in "/etc/nginx/srvtest.cer" -out "/etc/nginx/srvtest.pem" || exit 1
#Загрузка файла конфигурации:
wget "https://raw.githubusercontent.com/fullincome/scripts/master/nginx-gost/nginx.conf" || exit 1
#Установка конфигурации nginx:
mv ./nginx.conf /etc/nginx/nginx.conf || exit 1
Отредактировано пользователем 1 ноября 2017 г. 19:48:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Цитата:nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib) Все равно не работает Код:openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)
Код:nginx -V
nginx version: nginx/1.12.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)
built with OpenSSL 1.0.2k-fips 26 Jan 2017
TLS SNI support enabled
Отредактировано пользователем 1 ноября 2017 г. 19:37:57(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
strace nginx > 1 2>&1 cat 1 | grep ENOENT Код:access("/etc/ld.so.preload", R_OK) = -1 ENOENT (No such file or directory)
stat("/etc/sysconfig/64bit_strstr_via_64bit_strstr_sse2_unaligned", 0x7ffecc95b270) = -1 ENOENT (No such file or directory)
statfs("/sys/fs/selinux", 0x7ffecc95c4d0) = -1 ENOENT (No such file or directory)
statfs("/selinux", 0x7ffecc95c4d0) = -1 ENOENT (No such file or directory)
stat("/etc/sysconfig/64bit_strstr_via_64bit_strstr_sse2_unaligned", 0x7ffecc95c340) = -1 ENOENT (No such file or directory)
open("/etc/pki/tls/legacy-settings", O_RDONLY) = -1 ENOENT (No such file or directory)
access("/etc/system-fips", F_OK) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/tls/x86_64/libcrypto.so.1.0.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
stat("/opt/cprocsp/cp-openssl/lib/amd64/tls/x86_64", 0x7ffecc95b340) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/tls/libcrypto.so.1.0.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
stat("/opt/cprocsp/cp-openssl/lib/amd64/tls", 0x7ffecc95b340) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/x86_64/libcrypto.so.1.0.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
stat("/opt/cprocsp/cp-openssl/lib/amd64/x86_64", 0x7ffecc95b340) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcapi20.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcpext.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcapi10.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/liburlretrieve.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcpasn1.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcplib.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/librdrsup.so.4", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libstdc++.so.6", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libm.so.6", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libgcc_s.so.1", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libcpalloc.so.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/opt/cprocsp/cp-openssl/lib/amd64/libjemalloc.so.0", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
stat("/etc/sysconfig/64bit_strstr_via_64bit_strstr_sse2_unaligned", 0x7ffecc95b850) = -1 ENOENT (No such file or directory)
readlink("/etc/cpje_malloc.conf", 0x7ffecc95a950, 4096) = -1 ENOENT (No such file or directory)
open("/etc/opt/cprocsp/ubi_mutex", O_RDWR) = -1 ENOENT (No such file or directory)
connect(5, {sa_family=AF_LOCAL, sun_path="/var/run/nscd/socket"}, 110) = -1 ENOENT (No such file or directory)
Может каких-нибудь библиотек не хватает? Отредактировано пользователем 1 ноября 2017 г. 19:44:16(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 417 раз в 308 постах
|
Автор: chemtech Может каких-нибудь библиотек не хватает? Может вы расскажете о своей системе и задаче подробнее, мы таких ошибок никогда не встречали. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174
Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
|
Код:
inxi -S
System: Kernel: 3.10.0-693.2.2.el7.x86_64 x86_64 bits: 64
Console: tty 1 Distro: CentOS Linux release 7.4.1708 (Core)
inxi -x -I
Info: Processes: 80 Uptime: 18:58 Memory: 532.1/2000.4MB Init: systemd runlevel: 3 Gcc sys: 4.8.5
Client: Shell (bash 4.2.462) inxi: 2.3.36
Задача запустить ванильный версии nginx 1.12.2 с ванильним openssl 1.0.2k c Гостовым шифрованием (КриптоПро) Отредактировано пользователем 2 ноября 2017 г. 12:41:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 417 раз в 308 постах
|
Автор: chemtech Задача запустить ванильный версии nginx 1.12.2 с ванильним openssl 1.0.2k c Гостовым шифрованием (КриптоПро) Если вы не устанавливаете наши пакеты cpopenssl, кроме самого gost_capi, то откуда система узнаёт о существовании библиотек в "/opt/cprocsp/cp-openssl/lib/amd64/..."? Может быть есть смысл подчистить /etc/ld.so.conf? Если совсем никак, напишите последовательность действий для воспроизведения ошибки, начиная с шагов после установки чистой CentOS, попробуем воспроизвести. |
|
|
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Установка и настройка ванильной версии nginx 1.12.2 с ванильним openssl 1.0.2k c КриптоПро 4.0 R2
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
