Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

33 Страницы«<34567>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#81 Оставлено : 5 марта 2015 г. 18:08:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Нет ли ошибок в /var/log/auth.log?

Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#82 Оставлено : 5 марта 2015 г. 18:19:39(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Связанных с Криптопро - нет.
Offline Дмитрий Пичулин  
#83 Оставлено : 5 марта 2015 г. 18:22:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
При переходе с КС1 на КС2, вы выпустили новые ключи или пытаетесь воспользоваться выпущенными из КС1? Если да, то необходимо в хранилищах сертификатов поменять привязку к закрытому ключу на КС2.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#84 Оставлено : 6 марта 2015 г. 17:04:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Сообщение об обновлении FAQ + новые библиотеки, включая debug-овые

На linux системах лог пишется в /var/opt/cprocsp/tmp/gost_capi.log

Обратите внимание на измененный конфиг openssl, с ним не глючит ssh сервер.

Отредактировано пользователем 6 марта 2015 г. 17:05:29(UTC)  | Причина: добавлена ссылка на FAQ

Знания в базе знаний, поддержка в техподдержке
Offline est412  
#85 Оставлено : 10 марта 2015 г. 15:50:52(UTC)
est412

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.10.2014(UTC)
Сообщений: 38
Российская Федерация
Откуда: Казань

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 1 раз в 1 постах
Здравствуйте! У меня с отдельностоящим Win64 OpenSSL v1.0.2 (бинарный дистрибутив от Shining Light) выдаёт такое:
Код:
C:\Bin\OpenSSL-Win64> openssl engine
Error configuring OpenSSL
916:error:25078067:DSO support routines:WIN32_LOAD:could not load the shared library:.\crypto\dso\dso_win32.c:179:filena
me(C:\Bin\OpenSSL-Win64\gost_capi.dll)
916:error:25070067:DSO support routines:DSO_load:could not load the shared library:.\crypto\dso\dso_lib.c:232:
916:error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:.\crypto\engine\eng_dyn.c:465:
916:error:260BC066:engine routines:INT_ENGINE_CONFIGURE:engine configuration error:.\crypto\engine\eng_cnf.c:191:section
=gost_section, name=dynamic_path, value=C:\Bin\OpenSSL-Win64\gost_capi.dll
916:error:0E07606D:configuration file routines:MODULE_RUN:module initialization error:.\crypto\conf\conf_mod.c:223:modul
e=engines, value=engine_section, retcode=-1

Я что-то не доставил? КриптоПро CSP 3.6 установлен и работает.
Offline Дмитрий Пичулин  
#86 Оставлено : 10 марта 2015 г. 16:05:04(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: est412 Перейти к цитате
Здравствуйте! У меня с отдельностоящим Win64 OpenSSL v1.0.2 (бинарный дистрибутив от Shining Light) выдаёт такое:
Код:
C:\Bin\OpenSSL-Win64> openssl engine
...

Я что-то не доставил? КриптоПро CSP 3.6 установлен и работает.


Да, 64-битной сборки gost_capi.dll пока нет, пользуйтесь OpenSSL-Win32.

Должно быть:

Код:

OpenSSL> version
OpenSSL 1.0.2 22 Jan 2015
OpenSSL>

OpenSSL> engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 116890 $)
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
est412 оставлено 10.03.2015(UTC)
Offline est412  
#87 Оставлено : 10 марта 2015 г. 16:53:19(UTC)
est412

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.10.2014(UTC)
Сообщений: 38
Российская Федерация
Откуда: Казань

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 1 раз в 1 постах
С OpenSSL-Win32 та же проблема.
Если в openssl.cfg меняю в dynamic_path на ссылку на идущий в комплекте с OpenSSL-Win32 файл gost.dll, то:
Код:
OpenSSL> engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine

Сам КриптоПро - 64-битный

Отредактировано пользователем 10 марта 2015 г. 16:56:13(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#88 Оставлено : 10 марта 2015 г. 16:59:11(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: est412 Перейти к цитате
С OpenSSL-Win32 та же проблема.


Вы будете смеяться, но нужно заменить "\" на "/" или экранированную версию "\\".

Отредактировано пользователем 10 марта 2015 г. 17:01:19(UTC)  | Причина: смысл

Знания в базе знаний, поддержка в техподдержке
Offline est412  
#89 Оставлено : 10 марта 2015 г. 17:11:46(UTC)
est412

Статус: Активный участник

Группы: Участники
Зарегистрирован: 14.10.2014(UTC)
Сообщений: 38
Российская Федерация
Откуда: Казань

Сказал(а) «Спасибо»: 12 раз
Поблагодарили: 1 раз в 1 постах
Вы будете смеяться, но со слешами всё было нормально.
Ошибка сказалась в тексте "gost_capi.dll". Brick wall Тупой копипаст имени файла помог.
Offline 4ertu  
#90 Оставлено : 17 марта 2015 г. 11:45:20(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Добрый день, так и не добившись результатов на Debian'e начал все заного на Ubuntu.
На данный момент ситуация такая:
На сервере установлен nginx, openssl, gost_capi, КриптоПро 4.0 кс2.
Сделал запрос на сертификат, получил сертификат через тестовый УЦ КриптоПро.
Удалил символы ^M в конце строк сертификата.
Настроил openssl на использование gost_capi



При запуске nginx или попытке подписать файл через openssl cms -sign возвращается ошибка, что невозможно получить приватный ключ.



Если смотреть информацию по ключам в контейнере выводит следующее


Насколько я вижу, нет ключевой пары. Однако на Дебиане точно такие же параметры контейнера и оно работало (по крайней мере подпись).

Есть идеи в чем заключается ошибка?
Offline Максим Коллегин  
#91 Оставлено : 17 марта 2015 г. 11:48:41(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,120
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 619 раз в 551 постах
А пользователь используется один и тот же?
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#92 Оставлено : 17 марта 2015 г. 11:51:16(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Все команды запускаются из-под рута.

Еще есть такая ошибка:

Отредактировано пользователем 17 марта 2015 г. 12:07:50(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#93 Оставлено : 17 марта 2015 г. 12:21:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Как было сказано ранее: "На linux системах лог пишется в /var/opt/cprocsp/tmp/gost_capi.log"

Может быть там есть более подробная информация?

Расскажите подробнее как вы создали ключ + сертификат на КС2?
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#94 Оставлено : 17 марта 2015 г. 13:02:34(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
В логах ничего нет.

Ключ создавал следующим образом:
Ставил кс1
Создавал запрос
Удалял кс1, ставил кс2
Записывал сертификат по запросу

Насколько я понимаю, линк на секретный ключ не теряется, поскольку при добавлении сертификата в хранилище сертификатов private key link присутствует.



З.Ы. Пытался разобраться с аппаратным ДСЧ для создания сразу на КС2, ничего не получается - устройство (eToken) не определяется. В боевой версии будет настроен аппаратный ДСЧ, сейчас хотелось бы посомтреть работоспособность ГОСТ шифрования и параметров nginx для него.
З.Ы.Ы. Проверка показала что на кс1 такое-же поведение - приватный ключ не найден.

Не подскажите как gost_capi работает с nginx? Например, для создания SSL соединения nginx просит отдельный ключ - ssl_certificate_key. Он может быть прописан либо в .pem файле, либо в самом сертификате после (begin certificate, end certificate), в поле ----Public Key-----. Однако в самом файле сертификата публичного ключа нет. Тем самым вопрос - откуда берется ключ?

Отредактировано пользователем 17 марта 2015 г. 13:15:39(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#95 Оставлено : 17 марта 2015 г. 13:11:09(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,120
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 20 раз
Поблагодарили: 619 раз в 551 постах
Имя криптопровайдера изменяется при переходе на kc2. Нужно переустановить или перевыпустить сертификат.
Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#96 Оставлено : 17 марта 2015 г. 13:16:47(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Достаточно ли будет удалить сертификат из хранилища сертификатов и залить его обратно?

Отредактировано пользователем 17 марта 2015 г. 13:18:39(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#97 Оставлено : 17 марта 2015 г. 13:20:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: 4ertu Перейти к цитате
Не подскажите как gost_capi работает с nginx?

см. FAQ - Как сконфигурировать nginx? (про ssl_certificate_key)

1) Открытый ключ в сертификате всегда есть
2) Закрытый ключ находится автоматически по имени сертификата в keyform
3) Закрытый и открытый ключи проверяются на аутентичность друг другу
4) Работаем

Отредактировано пользователем 17 марта 2015 г. 13:23:26(UTC)  | Причина: смысл

Знания в базе знаний, поддержка в техподдержке
Offline 4ertu  
#98 Оставлено : 25 марта 2015 г. 16:38:43(UTC)
4ertu

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2015(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 1 раз
Здравствуйте, все заработало, спасибо за помощь, без вас бы не справилася.
Вы говорили, что на данный момент поддерживается только TLSv1, будет ли расширение поддержки и на другие версии?

Отредактировано пользователем 25 марта 2015 г. 17:07:50(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#99 Оставлено : 25 марта 2015 г. 19:34:06(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: 4ertu Перейти к цитате
Вы говорили, что на данный момент поддерживается только TLSv1, будет ли расширение поддержки и на другие версии?


Будет, по срокам сложно сказать.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#100 Оставлено : 25 марта 2015 г. 19:34:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Добавилось в FAQ:

Как сконфигурировать nginx по шагам?

Подробное описание настройки по шагам в этой теме: http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=57216#post57216
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
33 Страницы«<34567>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.