Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Riddick-84  
#1 Оставлено : 13 февраля 2019 г. 17:25:50(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
Создал ключи и сертификаты для нгинкс по инструкции из темы по настройк енгинкс+ гост на тестовой машине.
Далее выполняю настройку докер контейнеров с помощью импорта туда готовых pfx

Выполнил такую команду

/opt/cprocsp/bin/amd64/certmgr -export -pfx -dn "CN=meteotravel.ru" -dest mtravel.pfx -provtype 81

файл проверял закрытый ключ там есть

Далее в докер контейнере делаю импорт

RUN /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store \
&& /etc/init.d/cprocsp start \
&& /opt/cprocsp/bin/amd64/certmgr -inst -pfx -file /etc/certs/server/gost/cpro/mtravel.pfx --silent \

вот кусок конфига нгинкс отвечающий за работу госта
Открытые ключи экспортировал до этого в соответвтвии с инструкцией по настройке и копировал их в виде pem файлов в папку с сертификатами , откуда их берет нгинкс.


Сертификаты не импортировал в контейнер отдельно командой certmgr -inst -cer. Сейчас задумался нужно ли это делать.

Код:

ssl_client_certificate /etc/certs/ca-bundle.pem;
          #ssl_verify_client on;

          #Криптопро конфиг
          ssl_certificate /etc/certs/server/gost/cpro/meteotravel.ru.pem;
          ssl_certificate_key engine:gostengy:meteotravel.ru;
server_name meteotravel.ru;
         
          ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
          ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
          ssl_prefer_server_ciphers on;


вот содержимое файла ca-bundle.pem


Второй сертификат там гостовый для тестового уц

Далее выполняю команду
/opt/cprocsp/bin/amd64/curl -vvv --ciphers GOST2012-GOST8912-GOST8912 \
--url https://meteotravel.ru/

получаю ошибку
Код:
* About to connect() to meteotravel.ru port 443 (#0)
*   Trying 192.168.1.241... connected
* Connected to meteotravel.ru (192.168.1.241) port 443 (#0)
* Closing connection #0
* Problem with the local SSL certificate
curl: (58) Problem with the local SSL certificate


в логах нгинкса ошибка такая
[crit] 311#311: *1 SSL_do_handshake() failed (SSL: error:8000601C:lib(128):gng_hash_init_common:CryptCreateHash error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking,

если зайти в контейнер и посмотреть есть ли там ключи то они есть
Код:
ls -l /var/opt/cprocsp/keys/root/ngxtest.000/
total 24
-rw-r--r-- 1 root root 977 Feb 13 12:19 header.key
-rw-r--r-- 1 root root  88 Feb 13 12:40 masks.key
-rw-r--r-- 1 root root  88 Feb 13 12:19 masks2.key
-rw-r--r-- 1 root root  11 Feb 13 12:19 name.key
-rw-r--r-- 1 root root  68 Feb 13 12:40 primary.key
-rw-r--r-- 1 root root  68 Feb 13 12:19 primary2.key

openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 185515 $)

 /opt/cprocsp/sbin/amd64/cpconfig -defprov -view -provtype 81
Listing Available Providers:
Provider type	Provider Name
_____________	_____________________________________
       81	Crypto-Pro GOST R 34.10-2012 KC1 Strong CSP
       81	Crypto-Pro GOST R 34.10-2012 Strong Cryptographic Service Provider
       81	Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP

Provider types and provider names have been listed.




вот установленные пакеты криптопро


вот дамп ссл трафика



UPD:
При сборке команды и выполнении /etc/init.d/cprocsp start
видны такие ошибки, но импорт pfx вроде срабатывает



UPD2 Запустил тестовый ssl сервер


Далее подключаюсь клиентом


Подскажите в чем проблема?

Отредактировано пользователем 13 февраля 2019 г. 18:15:30(UTC)  | Причина: Не указана

Offline Riddick-84  
#2 Оставлено : 13 февраля 2019 г. 17:52:41(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
вот кусок скрипта для сборки нгинкс
Offline Дмитрий Пичулин  
#3 Оставлено : 13 февраля 2019 г. 18:20:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Знания в базе знаний, поддержка в техподдержке
Offline Riddick-84  
#4 Оставлено : 13 февраля 2019 г. 18:44:56(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
Удалось решить. в конфиге нгинкс прописал
Код:
user root www-data;


Т е у форков не было доступа к закрытому ключу.
Щас попробуем импортнуть pfx от другого пользователя. Чтобы форки работали не от рута
Offline Riddick-84  
#5 Оставлено : 13 февраля 2019 г. 20:44:21(UTC)
Riddick-84

Статус: Активный участник

Группы: Участники
Зарегистрирован: 26.11.2018(UTC)
Сообщений: 44
Российская Федерация
Откуда: Рязань

Сказал(а) «Спасибо»: 4 раз
Автор: Дмитрий Пичулин Перейти к цитате
https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=90926#post90926


Поясните пользователь от которого стартует процесс мастер нгинкса должен иметь доступ к контейнеру? Или пользователь от которого создаются форки тоже?

У вас в доках написано создаем пользователя
getent group nginx >/dev/null || groupadd -r nginx
getent passwd nginx >/dev/null || useradd -r -g nginx -s /sbin/nologin -d /var/cache/nginx -c "nginx user" nginx

Далее в конфиге написано задаем в nginx.conf пользователя user='имя пользователя'
Ну те это nginx?
Далее команда ps aux|grep nginx в которой все процессы и мастер и форки запущены от root
В итоге путаница.

Есть какие то опции чтобы создавать котейнеры с ключом чтобы у них был доступ для пользователя и для какой то определенной группы например root:www-data ?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.