Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Adrnin  
#1 Оставлено : 10 июля 2020 г. 18:41:05(UTC)
Adrnin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2020(UTC)
Сообщений: 8

Добрый день!
Пытаюсь завести связку Apache2 (2.4.29 с патчем) и gostengy, для работы с шифрованием ГОСТ.
При запуске apache2 в логах это:
Цитата:
Введите password:
[Fri Jul 10 16:43:57.196045 2020] [ssl:emerg] [pid 22019:tid 140198306304064] AH90002: Failed to configure engine private key 127.0.0.1:443:0 (engine:gostengy:tester3001)
[Fri Jul 10 16:43:57.196093 2020] [ssl:emerg] [pid 22019:tid 140198306304064] SSL Library Error: error:80016021:lib(128):gng_support_getuserkey:CryptAcquireCertificatePrivateKey
[Fri Jul 10 16:43:57.196120 2020] [ssl:emerg] [pid 22019:tid 140198306304064] SSL Library Error: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key
[Fri Jul 10 16:43:57.196132 2020] [:emerg] [pid 22019:tid 140198306304064] AH00020: Configuration Failed, exiting


Имеется: ОС Debian 9
Устанавливаю:
Криптопро CSP - https://www.cryptopro.ru...1455/linux-amd64_deb.tgz
tar -xvf linux-amd64_deb.tgz
cd linux-amd64_deb
./install.sh

Затем gostengy - https://update.cryptopro...t/nginx-gost/bin/211453/
wget https://update.cryptopro...64_5.0.11803-6_amd64.deb
wget https://update.cryptopro...base_5.0.11803-6_all.deb
wget https://update.cryptopro...evel_5.0.11803-6_all.deb
wget https://update.cryptopro...64_5.0.11803-6_amd64.deb
dpkg -i *.deb

openssl engine
Цитата:
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 211453 $)


openssl ciphers -v | grep GOST
Цитата:
GOST2012-GOST8912-GOST8912 TLSv1 Kx=GOST Au=GOST12 Enc=GOST89(256) Mac=GOST89
GOST2001-GOST89-GOST89 TLSv1 Kx=GOST Au=GOST01 Enc=GOST89(256) Mac=GOST89


/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn 'cn=tester3001' -cont '\\.\hdimage\tester3001' tester3001.csr
cat tester3001.csr

Запрашиваю сертификат из запроса тут - https://testca.cryptopro.ru/certsrv/
и после получения сертификата
cryptcp -instcert -cont '\\.\hdimage\tester3001' tester3001.crt

/opt/cprocsp/bin/amd64/certmgr --list
Цитата:
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : E=email@test.ru, CN=tester3001, C=rus, L=SPB, O=Tester3001
Serial : 0x120046FEFE38ACA7F885C1D84C00010046FEFE
SHA1 Hash : 3c1e216790617f75c939442d67d80d93fd100513
SubjKeyID : 4322349ed329df7e08603fb923570249be3255e5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 10/07/2020 12:55:51 UTC
Not valid after : 10/10/2020 13:05:51 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\tester30.001\4CFB
Provider Name : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro....Test%20Center%202(1).crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....Test%20Center%202(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.4
=============================================================================

[ErrorCode: 0x00000000]


собираю Apache2 из репозитория с патчем - https://github.com/deemru/httpd
так как для компиляции нехватает некоторых файлов беру их из исходников - http://archive.apache.or...tpd/httpd-2.4.29.tar.bz2

./configure --enable-so --enable-mem-cache --enable-ssl
make
make install

в httpd.conf правлю:
Цитата:
Listen 443
...
LoadModule ssl_module modules/mod_ssl.so
...
SSLCryptoDevice gostengy
<VirtualHost *:443>
SSLEngine on
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
SSLCertificateFile "/< path to cert >/tester3001.pem"
SSLCertificateKeyFile "engine:gostengy:tester3001"
</VirtualHost>


/usr/local/apache2/bin/apachectl -k start
Цитата:
Crypto-Pro GOST R 34.10-2001 KC1 CSP requests password


Просит пароль и всё...

В логах ошибка:

Цитата:
Введите password:
[Fri Jul 10 18:38:06.400744 2020] [ssl:emerg] [pid 722:tid 139904804454464] AH90002: Failed to configure engine private key 127.0.0.1:443:0 (engine:gostengy:tester3001)
[Fri Jul 10 18:38:06.400861 2020] [ssl:emerg] [pid 722:tid 139904804454464] SSL Library Error: error:80016021:lib(128):gng_support_getuserkey:CryptAcquireCertificatePrivateKey
[Fri Jul 10 18:38:06.400894 2020] [ssl:emerg] [pid 722:tid 139904804454464] SSL Library Error: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key
[Fri Jul 10 18:38:06.400902 2020] [:emerg] [pid 722:tid 139904804454464] AH00020: Configuration Failed, exiting


Помогите пожалуста, что я делаю не так?

Отредактировано пользователем 11 июля 2020 г. 13:12:25(UTC)  | Причина: Исправление ошибок

Offline Санчир Момолдаев  
#2 Оставлено : 11 июля 2020 г. 15:37:13(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 428
Российская Федерация

Сказал(а) «Спасибо»: 47 раз
Поблагодарили: 63 раз в 62 постах
certmgr -list делали от того же пользователя от которого работает apache?

больше информации в статье базы знаний
там есть ссылка на пост

Отредактировано пользователем 11 июля 2020 г. 16:01:41(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут
Наша база знаний
Offline Adrnin  
#3 Оставлено : 11 июля 2020 г. 16:30:10(UTC)
Adrnin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2020(UTC)
Сообщений: 8

Автор: Санчир Момолдаев Перейти к цитате
certmgr -list делали от того же пользователя от которого работает apache?

больше информации в статье базы знаний
там есть ссылка на пост


Да
Offline Санчир Момолдаев  
#4 Оставлено : 11 июля 2020 г. 17:07:42(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 428
Российская Федерация

Сказал(а) «Спасибо»: 47 раз
Поблагодарили: 63 раз в 62 постах
Автор: Adrnin Перейти к цитате

./install.sh

попробуйте ./install.sh kc2
далее перепривязать сертификат и проверить снова
Техническую поддержку оказываем тут
Наша база знаний
Offline Adrnin  
#5 Оставлено : 12 июля 2020 г. 13:06:59(UTC)
Adrnin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2020(UTC)
Сообщений: 8

Выполнив ./install.sh kc2

/opt/cprocsp/bin/amd64/cryptcp -instcert -cont '\\.\hdimage\tester3001' tester3001.pem
Цитата:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2019.
Утилита командной строки для подписи и шифрования файлов.
Ошибка: Объект или свойство не найдено.
/dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:786: 0x80092004
[ErrorCode: 0x80092004]


/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn 'cn=tester3000' -cont '\\.\hdimage\tester3000' tester3000.csr
Цитата:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2019.
Утилита командной строки для подписи и шифрования файлов.
Ошибка: Внутренняя ошибка.
/dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x80090020
[ErrorCode: 0x80090020]


openssl cms -sign -engine gostengy -keyform ENGINE -inkey tester3002 -in "tester3002.pem" -out "doc.signed.txt" -outform PEM -CAfile tester3002.pem -nodetach -signer tester3002.pem
Цитата:
engine "gostengy" set.
cannot load signing key file from engine
140335707599104:error:80016021:lib(128):gng_support_getuserkey:CryptAcquireCertificatePrivateKey:/dailybuilds/CSPbuild/CSP/samples/cp-openssl-1.1.0-engine/gostengy.cpp:4688:
140335707599104:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto/engine/eng_pkey.c:78:
unable to load signing key file


/opt/cprocsp/bin/amd64/certmgr --list
Цитата:
Certmgr 1.1 (c) "Crypto-Pro", 2007-2019.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=tester3002
Serial : 0x1200470C065E7C0964D13971D9000100470C06
SHA1 Hash : 323ee71647f529459980f5be80c96382e428e44c
SubjKeyID : 9f345a532ff2f079a09ef9109ddcbdc9d5be1738
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 12/07/2020 06:38:21 UTC
Not valid after : 12/10/2020 06:48:21 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\tester30.001\0CFA
Provider Name : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro....Test%20Center%202(1).crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....Test%20Center%202(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.4
2-------
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject : CN=tester3001
Serial : 0x1200470B7DE28C27D2154F6FD1000100470B7D
SHA1 Hash : 082d7eba821075087d9dfeed207c77b10c9f1605
SubjKeyID : 356282f95e7ee092c912a5f8e24270df6a722ea5
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 12/07/2020 06:06:53 UTC
Not valid after : 12/10/2020 06:16:53 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\tester30.000\4CFB
Provider Name : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info : ProvType: 75, KeySpec: 1, Flags: 0x0
CA cert URL : http://testca.cryptopro....Test%20Center%202(1).crt
OCSP URL : http://testca.cryptopro.ru/ocsp/ocsp.srf
CDP : http://testca.cryptopro....Test%20Center%202(1).crl
Extended Key Usage : 1.3.6.1.5.5.7.3.4
=============================================================================

[ErrorCode: 0x00000000]



Если устанавливать на чистую систему и выполнив ./install.sh kc2
/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn 'cn=tester3001' -cont '\\.\hdimage\tester3001' tester3001.csr
Цитата:
CryptCP 5.0 (c) "КРИПТО-ПРО", 2002-2019.
Утилита командной строки для подписи и шифрования файлов.
Ошибка: Внутренняя ошибка.
/dailybuildsbranches/CSP_5_0r0/CSPbuild/CSP/samples/CPCrypt/Enroll.cpp:441: 0x80090020
[ErrorCode: 0x80090020]

Отредактировано пользователем 12 июля 2020 г. 13:27:02(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#6 Оставлено : 12 июля 2020 г. 13:56:06(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 428
Российская Федерация

Сказал(а) «Спасибо»: 47 раз
Поблагодарили: 63 раз в 62 постах
в кс2 нет биодсч.
у вас уже должен быть готовый контейнер. либо сделайте его в кс1.
затем получив сертификат перепривяжите его.
чтобы в certmgr -list было указано КС2 в Provider Name: ...КС2...
перепривязать можно командой csptest -absorb -certs
Техническую поддержку оказываем тут
Наша база знаний
Offline Adrnin  
#7 Оставлено : 12 июля 2020 г. 14:44:13(UTC)
Adrnin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2020(UTC)
Сообщений: 8

Сделал по этой статье - https://www.cryptopro.ru...aspx?g=posts&t=12505
Nginx заработал, я остановил nginx, собрал Apache2, запускается, но возникла другая ошибка...

В браузере
Цитата:
Ошибка
Не удается получить доступ к сайту
Веб-страница по адресу https://192.168.1.102/, возможно, временно недоступна или постоянно перемещена по новому адресу.
ERR_FAILED


Но это уже другая история...
Спасибо за подсказки!

Отредактировано пользователем 12 июля 2020 г. 14:47:57(UTC)  | Причина: Не указана

Offline Adrnin  
#8 Оставлено : 12 июля 2020 г. 18:12:28(UTC)
Adrnin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2020(UTC)
Сообщений: 8

В чем может быть причина неработоспособности Apache2 (https://github.com/deemru/httpd)?
Конфиг:
Код:
...
SSLCryptoDevice gostengy

<VirtualHost *:443>
        SSLEngine on
        SSLProtocol +TLSv1  +TLSv1.1 +TLSv1.2
        SSLCipherSuite GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH

        SSLCertificateFile    "/etc/nginx/srvtest.pem"
        SSLCertificateKeyFile "engine:gostengy:srvtest"
</VirtualHost>
...


Запускается без ошибок, но браузер выдает ошибку:
Код:
Не удается получить доступ к сайтуВеб-страница по адресу https://192.168.1.102/, возможно, временно недоступна или постоянно перемещена по новому адресу.
ERR_FAILED


При выполнении
Код:
openssl s_client -connect 192.168.1.102:443


Apache2 выдает:
Код:
New, TLSv1.0, Cipher is GOST2012-GOST8912-GOST8912
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : GOST2012-GOST8912-GOST8912
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: AB5619668FFA3C5D0171F34DBD3D0B0EB27D1FB7D6213B5C5C9F290BA53CC60BEFFE43A809D8606B635A1BC97B6FF131
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1594566382
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: yes
---


Nginx выдает:
Код:
New, TLSv1.0, Cipher is GOST2012-GOST8912-GOST8912
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : GOST2012-GOST8912-GOST8912
    Session-ID: 0732E68B2EDAC0710B5A730D9A3717033381DDFE44B4BC576AA5C8E93489AE76
    Session-ID-ctx: 
    Master-Key: 205067B7C99DA428A35FD19126BB5C76BC4D4D328309AB37A249B8C78E23EF1093B49D5F2469C172F75F12E761191528
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 00 12 44 21 09 a4 36 23-04 69 42 fa dc 0b 62 66   ..D!..6#.iB...bf
    0010 - 7b 2e 2c fd f4 16 79 24-0b 9e 55 ad cd 86 d4 26   {.,...y$..U....&
    0020 - 75 85 b8 34 76 b5 2e b8-dd ad 37 27 98 cc 42 52   u..4v.....7'..BR
    0030 - 15 54 db 74 1c fc ce d9-95 97 e4 46 9d 04 a6 48   .T.t.......F...H
    0040 - 58 4d 50 83 a6 ed 21 a1-95 5f 5e e2 ae 81 6c 8c   XMP...!.._^...l.
    0050 - 2d ba c1 ac 35 61 43 8b-70 33 05 7c 90 bf be f4   -...5aC.p3.|....
    0060 - 9c e7 84 95 ba 21 79 f8-da 67 0a 73 27 cc e8 6f   .....!y..g.s'..o
    0070 - 35 cf f8 99 da 44 7d c2-2d be 6f 53 50 0d 34 4b   5....D}.-.oSP.4K
    0080 - fe 7d db cf 4a 13 7f 75-0f 2e 1c 7e 57 0a 2a f5   .}..J..u...~W.*.
    0090 - de 8a 6b 40 47 2e 00 4e-34 0b 00 af 72 37 74 73   ..k@G..N4...r7ts
    00a0 - 8d 79 dc 8a 05 70 c0 f3-e9 df a4 70 2e d4 22 43   .y...p.....p.."C

    Start Time: 1594566427
    Timeout   : 7200 (sec)
    Verify return code: 21 (unable to verify the first certificate)
    Extended master secret: yes
---
^C

и не сбрасывает соединение...
Есть ли разница в работе с gostengy и gost_capi?

Отредактировано пользователем 12 июля 2020 г. 18:14:54(UTC)  | Причина: Не указана

Offline Nikolay Batischev  
#9 Оставлено : 13 июля 2020 г. 13:29:45(UTC)
Nikolay Batischev

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2013(UTC)
Сообщений: 33
Мужчина
Албания
Откуда: Тирана

Сказал «Спасибо»: 2 раз
Поблагодарили: 4 раз в 4 постах
В логах апача есть ошибки на момент подключения?
Offline Adrnin  
#10 Оставлено : 13 июля 2020 г. 14:01:59(UTC)
Adrnin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2020(UTC)
Сообщений: 8

Автор: Nikolay Batischev Перейти к цитате
В логах апача есть ошибки на момент подключения?


Нет, в лога Apache2 все хорошо, ошибок нет.

Код:
[Mon Jul 13 14:38:02.178665 2020] [mpm_event:notice] [pid 36634:tid 140564610948992] AH00489: Apache/2.4.29 (Unix) OpenSSL/1.1.1g configured -- resuming normal operations
[Mon Jul 13 14:38:02.178751 2020] [core:notice] [pid 36634:tid 140564610948992] AH00094: Command line: '/usr/local/apache2/bin/httpd'

Firefox выдает такую ошибку, так как не поддерживает ГОСТ:
Firefox

Chromium GOST выдает такую ошибку:
Chromium GOST

Отредактировано пользователем 13 июля 2020 г. 15:00:29(UTC)  | Причина: Не указана

Offline Adrnin  
#11 Оставлено : 15 июля 2020 г. 15:17:07(UTC)
Adrnin

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2020(UTC)
Сообщений: 8

Помогите пожалуйста, есть какие-нибудь идеи, что не так с Apache2?
Может я неправильно его собираю (https://github.com/deemru/httpd), тогда как его собирать если в нем нет ./configure (много недостающих файлов по стравнению с оригинальным исходником) и cmake . не работает...

Отредактировано пользователем 15 июля 2020 г. 15:20:15(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.