Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

31 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline kropotin  
#41 Оставлено : 28 февраля 2015 г. 9:22:16(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Попробовал выполнить
Код:
-bash-4.1$ openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "172.16.74.1" -in "temp.txt" -out "temp.signed.txt" -outform PEM -CAfile /etc/nginx/nginx.cer -nodetach -signer /etc/nginx/nginx.cer
под пользователем nginx (под которым собственно и запускается nginx, создавался запрос и устанавливался сертификат).
Результат:
Код:
-bash-4.1$ openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "172.16.74.1" -in "temp.txt" -out "temp.signed.txt" -outform PEM -CAfile /etc/nginx/nginx.cer -nodetach -signer /etc/nginx/nginx.cer
engine "gost_capi" set.
unable to write 'random state'

Погуглил: openssl не может получить доступ на запить файла .rnd, который обычно размещается в HOME директории.
Код:

[root@tls-nginx ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
...
nginx:x:498:498:nginx user:/var/cache/nginx:/sbin/nologin

Код:

-bash-4.1$ stat /var/cache/nginx/
  File: `/var/cache/nginx/'
  Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: fd00h/64768d    Inode: 134064      Links: 7
Access: (0755/drwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2015-02-28 08:47:50.819856156 +0300
Modify: 2015-02-26 11:10:12.074985299 +0300
Change: 2015-02-26 11:10:12.074985299 +0300

Даю права:
Код:
[root@tls-nginx ~]# chown nginx:nginx /var/cache/nginx/
[root@tls-nginx ~]# chmod 755 /var/cache/nginx/
[root@tls-nginx ~]# stat /var/cache/nginx/
  File: `/var/cache/nginx/'
  Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: fd00h/64768d    Inode: 134064      Links: 7
Access: (0755/drwxr-xr-x)  Uid: (  498/   nginx)   Gid: (  498/   nginx)
Access: 2015-02-28 08:47:50.819856156 +0300
Modify: 2015-02-26 11:10:12.074985299 +0300
Change: 2015-02-28 09:04:11.114849033 +0300

Проверяю:
Код:
-bash-4.1$ openssl cms -sign -engine gost_capi -keyform ENGINE -inkey "" -in "temp.txt" -out "temp.signed.txt" -outform PEM -CAfile /etc/nginx/nginx.cer -nodetach -signer /etc/nginx/nginx.cer
engine "gost_capi" set.

Без ошибок, файл зашифровался.
Проверяю работу nginx:
Код:
[root@tls-nginx ~]# service nginx configtest
Auto configuration failed
3077678840:error:8006A041:lib(128):CAPI_INIT:malloc failure:/dailybuilds/CSPbuild/CSP/samples/cp-openssl_plugin/e_gost_capi.c:3169:
3077678840:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:eng_cnf.c:204:
3077678840:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:conf_mod.c:235:module=engines, value=engine_section, retcode=-1 

Не помогло.
Offline kropotin  
#42 Оставлено : 28 февраля 2015 г. 11:21:48(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Под root'ом nginx запускается, но подключения к web-серверу не происходит. nginx/error.log:
Код:

2015/02/28 11:18:02 [alert] 3445#0: *1 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [info] 3445#0: *1 peer closed connection in SSL handshake while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [alert] 3445#0: *2 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [info] 3445#0: *2 SSL_do_handshake() failed (SSL: error:8006A067:lib(128):CAPI_INIT:cryptacquirecontext error:Error code= 0x-21468937 error:0B07707D:x509 certificate routines:X509_PUBKEY_get:public key decode error error:8007D08E:lib(128):CAPI_GOST_F_PKEY_GOST01CP_DECRYPT:CAPI_GOST_R_NO_PEER_KEY error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [alert] 3445#0: *3 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [info] 3445#0: *3 SSL_do_handshake() failed (SSL: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/02/28 11:18:02 [info] 3445#0: *4 client closed connection while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
Offline Максим Коллегин  
#43 Оставлено : 28 февраля 2015 г. 12:42:25(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,910
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 579 раз в 520 постах
А кто клиент?
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#44 Оставлено : 28 февраля 2015 г. 12:44:39(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: maxdm Перейти к цитате
А кто клиент?


Internet Explorer 11
Offline 4ertu  
#45 Оставлено : 2 марта 2015 г. 15:22:37(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Пытался настроить ГОСТ через nginx, на данный момент не могу победить ошибку в логе nginx:

2015/03/02 06:55:25 [notice] 17082#0: signal process started
2015/03/02 06:56:52 [alert] 17097#0: *1 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 192.168.154.133, server 0.0.0.0:443

Клиентом является IE 11. Соединение разрывается во время рукопожатия, когда от сервера должны прийти последние пакеты (ChangeCipherSpec, Finished, Application Data)
Offline Дмитрий Пичулин  
#46 Оставлено : 2 марта 2015 г. 16:12:35(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 965
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: 4ertu Перейти к цитате
на данный момент не могу победить ошибку в логе nginx:
2015/03/02 06:56:52 [alert] 17097#0: *1 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 192.168.154.133, server 0.0.0.0:443


Это известное поведение, которое не должно мешать работе. По сути, является мусором в логе nginx. Будет исправлено в новой версии openssl.

Пруф:
http://rt.openssl.org/Ti...ser=guest&pass=guest

Зеркало:
http://openssl.6102.n7.n...ST-TLS-used-tt55056.html
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
plint оставлено 01.02.2018(UTC)
Offline Дмитрий Пичулин  
#47 Оставлено : 2 марта 2015 г. 16:13:46(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 965
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Пришлите вашу кофигурацию nginx -- попробуем воспроизвести разрыв во время рукопожатия.

Отредактировано пользователем 2 марта 2015 г. 16:14:24(UTC)  | Причина: по смыслу

Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#48 Оставлено : 2 марта 2015 г. 16:58:04(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Конф файл:

Отредактировано пользователем 2 марта 2015 г. 17:03:13(UTC)  | Причина: Не указана

Вложение(я):
nginx config.txt (4kb) загружен 18 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Дмитрий Пичулин  
#49 Оставлено : 2 марта 2015 г. 18:50:55(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 965
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Оказалось, что ошибка на стороне клиента в модуле cpsspap:

Код:
КриптоПро TLS. Такое расширение CLIENT_HELLO не посылалось: 0x3374


В текущей реализации cpsspap, есть проблема работы с TLS Next Protocol Negotiation.

Для обхода проблемы, укажите прокси сервер (можно фиктивный) и пропишите тестируемый сайт в исключения ("не использовать прокси-сервер для адресов, начинающихся с:"), это должно принудительно активировать http1.1 через прокси.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
4ertu оставлено 03.03.2015(UTC)
Offline 4ertu  
#50 Оставлено : 3 марта 2015 г. 11:33:53(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате


Для обхода проблемы, укажите прокси сервер (можно фиктивный) и пропишите тестируемый сайт в исключения ("не использовать прокси-сервер для адресов, начинающихся с:"), это должно принудительно активировать http1.1 через прокси.


К сожалению данное решение не помогло.

Рукопожатие отваливается на стороне сервера при использовании протокола TLSv1 на сервере и клиенте.
Замечено, что при использовании протоколов TLSv1.1 и TLSv1.2 на стороне сервера и клиента, рукопожатие не доходит до этого шага (отваливается сразу после Server Hello).
При использовании SSLv3 от сервера возвращается пакет Alert (Handshake Failure).


На клиентe стоит КриптоПро 3.6.5365 КС 1 с установленной лицензией, проверки со стороны клиента во вкладке "настройки TLS" отключены. Возможно стоит обновить до КриптоПро 4.0?

Отредактировано пользователем 3 марта 2015 г. 11:38:08(UTC)  | Причина: Не указана

Пользователь 4ertu прикрепил следующие файлы:
wireshark screen.PNG (33kb) загружен 22 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Дмитрий Пичулин  
#51 Оставлено : 3 марта 2015 г. 12:30:26(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 965
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: 4ertu Перейти к цитате
Рукопожатие отваливается на стороне сервера при использовании протокола TLSv1 на сервере и клиенте.


У нас поддерживается только TLSv1.

А что у вас в логах Просмотр событий -> Журналы Windows -> Приложение / Система? Нет ли там ошибок от cpsspap или Schannel?
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#52 Оставлено : 3 марта 2015 г. 12:54:42(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Содержимое журнала Система:
Schannel:36874: Получен запрос на подключение TLS 1.2 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение SSL завершился с ошибкой.
Schannel:36888: Возникло следующее неустранимое предупреждение: 40. Внутреннее состояние ошибки: 107.
Schannel:36887: Получено следующее предупреждение о неустранимой ошибке: 40.

tcp-дамп во вложении.

Попробую в конфигурации nginx оставить только TLSv1

Отредактировано пользователем 3 марта 2015 г. 12:56:43(UTC)  | Причина: Не указана

Вложение(я):
nginx-tls.zip (3kb) загружен 4 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline kropotin  
#53 Оставлено : 3 марта 2015 г. 13:06:35(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Оставил в конфигурации nginx только TLSv1:
В журнале Система лишь одна запись:
Schannel:36887: Получено следующее предупреждение о неустранимой ошибке: 40.

Выключил в IE SSLv3, он при обращении к сайту сейчас выдает:
Включите протоколы TLS 1.0, TLS 1.1 и TLS 1.2 в разделе "Дополнительные параметры" и снова попробуйте подключиться к веб-странице https://172.16.74.1 . Если не удается устранить ошибку, обратитесь к администратору веб-сайта.

Вложение(я):
nginx-tls-2.zip (4kb) загружен 4 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline 4ertu  
#54 Оставлено : 3 марта 2015 г. 13:12:07(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Нет ли там ошибок от cpsspap или Schannel?


Есть от cpsspap в Журналы Windows\Приложение:
КриптоПро TLS. Расширение OCSP присутствует в сообщении CLIENT_HELLO

Отредактировано пользователем 3 марта 2015 г. 13:28:00(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#55 Оставлено : 3 марта 2015 г. 14:20:50(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 965
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
При этом в логах nginx ошибок, кроме "ignoring stale global SSL error", нет?
Знания в базе знаний, поддержка в техподдержке
Offline kropotin  
#56 Оставлено : 3 марта 2015 г. 14:23:31(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Код:

2015/03/03 13:05:55 [alert] 5301#0: *16 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [info] 5301#0: *16 SSL_do_handshake() failed (SSL: error:8006A067:lib(128):CAPI_INIT:cryptacquirecontext error:Error code= 0x-21468937 error:0B07707D:x509 certificate routines:X509_PUBKEY_get:public key decode error error:8007D08E:lib(128):CAPI_GOST_F_PKEY_GOST01CP_DECRYPT:CAPI_GOST_R_NO_PEER_KEY error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [alert] 5301#0: *17 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [info] 5301#0: *17 SSL_do_handshake() failed (SSL: error:8006A067:lib(128):CAPI_INIT:cryptacquirecontext error:Error code= 0x-21468937 error:0B07707D:x509 certificate routines:X509_PUBKEY_get:public key decode error error:8007D08E:lib(128):CAPI_GOST_F_PKEY_GOST01CP_DECRYPT:CAPI_GOST_R_NO_PEER_KEY error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [alert] 5301#0: *18 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [info] 5301#0: *18 SSL_do_handshake() failed (SSL: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number) while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
2015/03/03 13:05:55 [info] 5301#0: *19 client closed connection while SSL handshaking, client: 172.16.12.10, server: 0.0.0.0:443
Offline 4ertu  
#57 Оставлено : 3 марта 2015 г. 14:38:16(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
При этом в логах nginx ошибок, кроме "ignoring stale global SSL error", нет?

Есть новая инфа, появилась когда увеличил уровень логгирования:




Проверил работу gost_capi, на всякий случай: подпись командой openssl cms -sign проходит успешно, без ошибок.

При получении версии engine следующий вывод:
Код:

root@deb:/downloads# openssl engine
(dynamic) Dynamic engine loading support
(gost_capi) CAPIlite (CryptoAPI) gost ENGINE

Отредактировано пользователем 3 марта 2015 г. 14:48:42(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#58 Оставлено : 3 марта 2015 г. 14:56:17(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 965
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Обновил локальный стенд nginx 1.7.10 + openssl 1.0.1l ошибки "ignoring stale global SSL error" ушли, судя по всему пофиксили.

Может стоит обновиться?
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#59 Оставлено : 3 марта 2015 г. 15:06:52(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
nginx 1.7.10
Openssl 1.0.1e

apt-get install openssl и apt-get install libssl1.0.0 Результата не дают - пишет последняя версия.
Offline kropotin  
#60 Оставлено : 3 марта 2015 г. 15:16:57(UTC)
kropotin

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.09.2014(UTC)
Сообщений: 30

Автор: 4ertu Перейти к цитате
nginx 1.7.10
Openssl 1.0.1e


Аналогично

Код:
[root@tls-nginx nginx]# yum install nginx
Package nginx-1.7.10-1.el6.ngx.i386 already installed and latest version
Nothing to do
[root@tls-nginx nginx]# yum install openssl
Package openssl-1.0.1e-30.el6_6.5.i686 already installed and latest version
Nothing to do


Посмотрел на сайте OpenSSL:
11-Feb-2013: OpenSSL 1.0.1e is now available, including bug fixes
То есть версия 1.0.1e вышла 2 года назад? Может действительно как-то обновиться до 1.0.1l и проблемы будут решены?

Отредактировано пользователем 3 марта 2015 г. 15:23:57(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
31 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.