Статус: Новичок
Группы: Участники
Зарегистрирован: 11.02.2019(UTC) Сообщений: 3
|
Та-же самая проблема с докер контейнером, всё 1-в-1.
Код:
root@793a6b776943:~# openssl engine libgostengy -vvvv -t
140578989220288:error:260B606D:engine routines:dynamic_load:init failed:crypto/engine/eng_dyn.c:485:
140578989220288:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
140578989220288:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1
140578989220288:error:260B606D:engine routines:dynamic_load:init failed:crypto/engine/eng_dyn.c:485:
140578989220288:error:2606A074:engine routines:ENGINE_by_id:no such engine:crypto/engine/eng_list.c:339:id=libgostengy
Код:
root@793a6b776943:~# openssl engine gostengy -vvvv -t
140649485119936:error:260B606D:engine routines:dynamic_load:init failed:crypto/engine/eng_dyn.c:485:
140649485119936:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
140649485119936:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1
140649485119936:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:113:filename(/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/gostengy.so): /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/gostengy.so: cannot open shared object file: No such file or directory
140649485119936:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:161:
140649485119936:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
140649485119936:error:2606A074:engine routines:ENGINE_by_id:no such engine:crypto/engine/eng_list.c:339:id=gostengy
Код:
root@793a6b776943:~# openssl engine
(dynamic) Dynamic engine loading support
140594089746880:error:260B606D:engine routines:dynamic_load:init failed:crypto/engine/eng_dyn.c:485:
140594089746880:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
140594089746880:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1
Отредактировано пользователем 11 февраля 2019 г. 14:53:17(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,255 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 243 раз в 206 постах
|
Автор: devildev  Та-же самая проблема с докер контейнером, всё 1-в-1. Мы проверили на чистой системе, не воспроизводится. Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.02.2019(UTC) Сообщений: 3
|
Автор: Дмитрий Пичулин  Автор: devildev  Та-же самая проблема с докер контейнером, всё 1-в-1. Мы проверили на чистой системе, не воспроизводится. Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим. https://dropmefiles.com/6FOjP1) Распаковать 2) Перейти в папку 3) docker build . 4) ??? 5) В консоли видим ошибку, описанную выше
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 36  Откуда: Рязань Сказал(а) «Спасибо»: 3 раз
|
Автор: devildev  Автор: Дмитрий Пичулин  Автор: devildev  Та-же самая проблема с докер контейнером, всё 1-в-1. Мы проверили на чистой системе, не воспроизводится. Если пришлёте как воспроизвести на чистой системе, где первый шаг это установить систему X, обязательно посмотрим. https://dropmefiles.com/6FOjP1) Распаковать 2) Перейти в папку 3) docker build . 4) ??? 5) В консоли видим ошибку, описанную выше Та же самая ошибка вот моя инфа о системе Код:Step 8/9 : RUN /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl version -a
---> Running in aa9a611d20bb
OpenSSL 1.1.0h 27 Mar 2018
built on: reproducible build, date unspecified
platform: linux-x86_64
options: bn(64,64) rc4(8x,int) des(int) idea(int) blowfish(ptr)
compiler: gcc -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DRC4_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPADLOCK_ASM -DPOLY1305_ASM -DOPENSSLDIR="\"/var/opt/cprocsp/cp-openssl-1.1.0\"" -DENGINESDIR="\"/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines\""
OPENSSLDIR: "/var/opt/cprocsp/cp-openssl-1.1.0"
ENGINESDIR: "/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines"
---> 4e32cc8f29b0
Removing intermediate container aa9a611d20bb
Step 9/9 : RUN /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
---> Running in 1766cb380a01
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
140352047789824:error:260B606D:engine routines:dynamic_load:init failed:crypto/engine/eng_dyn.c:485:
140352047789824:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so
140352047789824:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1
---> 894257fd8bd4
Removing intermediate container 1766cb380a01
Successfully built 894257fd8bd4
Successfully tagged devprofi/cpronginx:latest
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ docker version
Client:
Version: 17.09.1-ce
API version: 1.32
Go version: go1.8.3
Git commit: 19e2cf6
Built: Thu Dec 7 22:24:23 2017
OS/Arch: linux/amd64
Server:
Version: 17.09.1-ce
API version: 1.32 (minimum version 1.12)
Go version: go1.8.3
Git commit: 19e2cf6
Built: Thu Dec 7 22:23:00 2017
OS/Arch: linux/amd64
Experimental: false
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ uname -a
Linux devprofi 4.15.18-041518-generic #201804190330 SMP Thu Apr 19 07:34:21 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
alex@devprofi /distr/programming/crypto/gost/docker-cryptopro $ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 18.04.1 LTS
Release: 18.04
Codename: bionic
Отредактировано пользователем 11 февраля 2019 г. 16:14:39(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 11.02.2019(UTC) Сообщений: 3
|
Ну и моя инфа о системе:
Код:
secret@secret:~$ sudo docker version
[sudo] пароль для secret:
Client:
Version: 18.09.1
API version: 1.39
Go version: go1.10.6
Git commit: 4c52b90
Built: Wed Jan 9 19:35:36 2019
OS/Arch: linux/amd64
Experimental: false
Server: Docker Engine - Community
Engine:
Version: 18.09.1
API version: 1.39 (minimum version 1.12)
Go version: go1.10.6
Git commit: 4c52b90
Built: Wed Jan 9 19:02:44 2019
OS/Arch: linux/amd64
Experimental: false
secret@secret:~$ uname -a
Linux secret 4.18.0-15-generic #16-Ubuntu SMP Thu Feb 7 10:56:39 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
secret@secret:~$ lsb_release -a
LSB Version: core-9.20170808ubuntu1-noarch:printing-9.20170808ubuntu1-noarch:security-9.20170808ubuntu1-noarch
Distributor ID: Ubuntu
Description: Ubuntu 18.10
Release: 18.10
Codename: cosmic
Отредактировано пользователем 11 февраля 2019 г. 16:24:24(UTC)
| Причина: Не указана
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 36  Откуда: Рязань Сказал(а) «Спасибо»: 3 раз
|
И еще проблема. Почему так долго выполняется этот скрипт в докере Код:./count.sh
OpenSSL 1.1.0h 27 Mar 2018
10
root@351b35c72888:~# cat count.sh
SECONDS=0
/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl version
duration=$SECONDS
echo $duration
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 49  Сказал(а) «Спасибо»: 1 раз Поблагодарили: 17 раз в 16 постах
|
С установкой все в порядке! В докере в режиме kc2 нужно: 1. Самостоятельно запускать сервис cprocsp: Код: /etc/init.d/cprocsp start
2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы). Убедиться, что проблема из-за этого, можно так: Код:root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 36  Откуда: Рязань Сказал(а) «Спасибо»: 3 раз
|
Автор: Ефремов Степан  С установкой все в порядке! В докере в режиме kc2 нужно: 1. Самостоятельно запускать сервис cprocsp: Код: /etc/init.d/cprocsp start
2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы). Убедиться, что проблема из-за этого, можно так: Код:root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)
Да вот так работает. Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах. У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить? Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,255 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 243 раз в 206 постах
|
Автор: Riddick-84  Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах. У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить? Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически По контейнерам и серверным лицензиям лучше уточнить в отделе продаж, могут быть нюансы, по умолчанию необходима лицензия на каждый установленный CSP, в вашем примере получается 9. Игры с ключами на ваше усмотрение, к контейнерам априори отношение как к исполнению со слабой защитой, поэтому если не собираетесь решение сертифицировать, то делайте как удобнее. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 36  Откуда: Рязань Сказал(а) «Спасибо»: 3 раз
|
Автор: Дмитрий Пичулин  Автор: Riddick-84  Каким образом работает лицензия? например мне нужно много докер контейнеров на нескольких машинах. У вас идет привязка к железу. Но я заранее не буду знать где какой контейнер будет работать. Например 3 машины по 3 контейнера будут. Сколько мне нужно лицензий купить? Можно ли использовать один ключ сразу для всех контейнеров? Так чтобы прописать его в конфиге где то а не вручную вбивать. Т к контейнеры могут пересоздаваться автоматически По контейнерам и серверным лицензиям лучше уточнить в отделе продаж, могут быть нюансы, по умолчанию необходима лицензия на каждый установленный CSP, в вашем примере получается 9. Игры с ключами на ваше усмотрение, к контейнерам априори отношение как к исполнению со слабой защитой, поэтому если не собираетесь решение сертифицировать, то делайте как удобнее. Имел ввиду ключ это лицензия. Может ли ваш CSP читать приватные ключи по сетке с другой машины? Как тогда будет выглядеть конфиг нгинкса?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 36  Откуда: Рязань Сказал(а) «Спасибо»: 3 раз
|
Автор: Ефремов Степан  С установкой все в порядке! В докере в режиме kc2 нужно: 1. Самостоятельно запускать сервис cprocsp: Код: /etc/init.d/cprocsp start
2. К docker run добавить опцию --privileged (иначе с запуском демона могут быть проблемы). Убедиться, что проблема из-за этого, можно так: Код:root@ub18:~# docker run -it --privileged container /bin/bash
root@docker:~# /etc/init.d/cprocsp start
...
root@docker:~# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)
Отредактировано пользователем 12 февраля 2019 г. 1:22:11(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,255 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 243 раз в 206 постах
|
Автор: Riddick-84  Может ли ваш CSP читать приватные ключи по сетке с другой машины? Как тогда будет выглядеть конфиг нгинкса? По теме настройки nginx + gostengy разобрались, создавайте новые темы с интересующими вопросами, а то какая-то мусорка получается. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,255 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 243 раз в 206 постах
|
Автор: Riddick-84  как теперь прописать старт cprocsp в самом докер контейнере или в стартовом скрипте? Как уже сказано ранее, докер — это не про безопасность, следовательно не можем ничего рекомендовать, используйте как вам больше нравится. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 26.11.2018(UTC) Сообщений: 36  Откуда: Рязань Сказал(а) «Спасибо»: 3 раз
|
в докер файл добавил COPY start-nginx.sh ./ EXPOSE 80 443 #CMD ["nginx", "-g", "daemon off;"] CMD ./start-nginx.sh сам скрипт Код:
#!/bin/bash +x
/etc/init.d/cprocsp start && nginx -g "daemon off;"
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.02.2019(UTC) Сообщений: 20  Откуда: NSK Сказал(а) «Спасибо»: 1 раз
|
Здравствуйте! Использовал оба скрипта для установки криптопро+ngnix, но возникает следующая проблема: Код:/usr/sbin/nginx
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)
Видел в этой теме, что она возникла, когда ngnix уже был установлен ранее, но у меня такой ситуации не было (до выполнения скриптов ngnix установлен не был). Выполнил команду ldd /usr/sbin/nginx . И получил следующее: Код:
linux-vdso.so.1 (0x00007ffe72b49000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f3b3fdfc000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f3b3fbdd000)
libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f3b3f9a5000)
libpcre.so.1 => /usr/local/lib/libpcre.so.1 (0x00007f3b3f787000)
libssl.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007f3b3f51f000)
libcrypto.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007f3b3f0dc000)
libz.so.1 => /usr/local/lib/libz.so.1 (0x00007f3b3eebe000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f3b3eacd000)
/lib64/ld-linux-x86-64.so.2 (0x00007f3b40359000)
Здесь видно, что используются старые версии SSL. Подскажите, пожалуйста, правильно ли я понимаю, что для верного указания библиотек предназначен скрипт nginx_conf.patch?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,255 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 243 раз в 206 постах
|
Автор: Евгений_ВВ  Использовал оба скрипта для установки криптопро+ngnix, но возникает следующая проблема: Да, что-то пошло не так. Как воспроизвести по шагам? (система + все выполненные команды с момента установки системы) |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.02.2019(UTC) Сообщений: 20  Откуда: NSK Сказал(а) «Спасибо»: 1 раз
|
Система: Код:Description: Ubuntu 18.04.1 LTS
Release: 18.04
Пакеты крипто про Код:ii cprocsp-cpopenssl-110-64 5.0.11216-5 amd64 OpenSSL-110. Build 11216.
ii cprocsp-cpopenssl-110-base 5.0.11216-5 all Openssl-110 common Build 11216.
ii cprocsp-cpopenssl-110-devel 5.0.11216-5 all Openssl-110 devel Build 11216.
ii cprocsp-cpopenssl-110-gost-64 5.0.11216-5 amd64 OpenSSL-110 gostengy engine. Build 11216.
ii cprocsp-curl-64 4.0.9963-5 amd64 CryptoPro Curl shared library and binaris. Build 9963.
ii lsb-cprocsp-base 4.0.9963-5 all CryptoPro CSP directories and scripts. Build 9963.
ii lsb-cprocsp-ca-certs 4.0.9963-5 all CA certificates. Build 9963.
ii lsb-cprocsp-capilite-64 4.0.9963-5 amd64 CryptoAPI lite. Build 9963.
ii lsb-cprocsp-kc1-64 4.0.9963-5 amd64 CryptoPro CSP KC1. Build 9963.
ii lsb-cprocsp-kc2-64 4.0.9963-5 amd64 CryptoPro CSP KC2. Build 9963.
ii lsb-cprocsp-rdr-64 4.0.9963-5 amd64 CryptoPro CSP readers. Build 9963.
nginx: Код:nginx version: nginx/1.14.2
Нe могу сказать, что я на "чистой" системе запускал скрипты. Прежде чем использовать скрипты, я сначала эксперементировал с крипто про, настройкой ssl для gostengine, установкой и формированием сертификатов. Но ngnix устанавливал только через ваш скрипт. И перед последним использованием скриптов снес ngnix и крипто про.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 13.02.2019(UTC) Сообщений: 20  Откуда: NSK Сказал(а) «Спасибо»: 1 раз
|
А нельзя как-нибудь нужные библиотеки в ручном режиме прикрутить?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,255 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 243 раз в 206 постах
|
Автор: Евгений_ВВ  Нe могу сказать, что я на "чистой" системе запускал скрипты. Прежде чем использовать скрипты, я сначала эксперементировал с крипто про, настройкой ssl для gostengine, установкой и формированием сертификатов. Но ngnix устанавливал только через ваш скрипт. И перед последним использованием скриптов снес ngnix и крипто про. Мы рассчитывали, что скрипты запускаются на чистой системе, в противном случае, пользователь берёт на себя решение всех проблем, так как у него достаточно опыта для самостоятельной установки. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,255 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 243 раз в 206 постах
|
Автор: Евгений_ВВ  А нельзя как-нибудь нужные библиотеки в ручном режиме прикрутить? Можно, либо изучайте содержание скриптов и делайте выводы, либо запускайте на чистой системе. Помочь точечно всем мы не в состоянии. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close