Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<5556575859>»
Опции
К последнему сообщению К первому непрочитанному
Offline expdts  
#561 Оставлено : 26 сентября 2019 г. 14:27:14(UTC)
expdts

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.02.2012(UTC)
Сообщений: 121
Мужчина
Российская Федерация

Сказал «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
Автор: J. Перейти к цитате
Добрый день

Прошу помощи по настройке Openssl с поддержкой ГОСТ 2001/2012.
Установлен Openssl v. 1.1.1b-gost-0.24 (источник) на Windows

В 'C:\openssl' добавил библиотеку 'gostengy.dll', т.к. команда 'openssl engine', выдавала только '(dynamic) Dynamic engine loading support'
Файл конфигурации 'openssl.cnf' после регистрации библиотеки 'gostengy.dll':


В итоге команда 'openssl engine', не подгружает ГОСТ: '(dynamic) Dynamic engine loading support'

Подскажите пожалуйста, как правильно настроить openssl с поддержкой ГОСТ 2001/2012 для Windows?


после команды 'Set OPENSSL_CONF=C:\openssl\openssl.cnf' команда 'openssl engine' начала выдавать ошибку:

в чем ошибка может быть?
Offline expdts  
#562 Оставлено : 26 сентября 2019 г. 14:54:51(UTC)
expdts

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.02.2012(UTC)
Сообщений: 121
Мужчина
Российская Федерация

Сказал «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
Автор: J. Перейти к цитате
Автор: J. Перейти к цитате
Добрый день

Прошу помощи по настройке Openssl с поддержкой ГОСТ 2001/2012.
Установлен Openssl v. 1.1.1b-gost-0.24 (источник) на Windows

В 'C:\openssl' добавил библиотеку 'gostengy.dll', т.к. команда 'openssl engine', выдавала только '(dynamic) Dynamic engine loading support'
Файл конфигурации 'openssl.cnf' после регистрации библиотеки 'gostengy.dll':


В итоге команда 'openssl engine', не подгружает ГОСТ: '(dynamic) Dynamic engine loading support'

Подскажите пожалуйста, как правильно настроить openssl с поддержкой ГОСТ 2001/2012 для Windows?


после команды 'Set OPENSSL_CONF=C:\openssl\openssl.cnf' команда 'openssl engine' начала выдавать ошибку:

в чем ошибка может быть?


Причину ошибку нашел. Библиотека 'gostengy.dll' была взята из Nginx x32.
Подскажите, где можно скачать 'gostengy.dll' для OpenSSL x64?

Отредактировано пользователем 26 сентября 2019 г. 14:55:56(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#563 Оставлено : 26 сентября 2019 г. 14:59:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: J. Перейти к цитате
Подскажите, где можно скачать 'gostengy.dll' для OpenSSL x64?

Много ответов есть в FAQ в начале данной темы, в том числе ответ на ваш вопрос.

Знания в базе знаний, поддержка в техподдержке
Offline expdts  
#564 Оставлено : 30 сентября 2019 г. 19:57:09(UTC)
expdts

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.02.2012(UTC)
Сообщений: 121
Мужчина
Российская Федерация

Сказал «Спасибо»: 2 раз
Поблагодарили: 2 раз в 2 постах
Добрый день.
`Openssl v. 1.1.1b-gost-0.24` x64 (источник) с использованием библиотеки `gostengy` (источник) после установки на `Windows 10 Enterprise v.1903 (18362.387)` у меня возникла ошибка совместимости работы с `npm` из пакета `node v.10.16.3` или `nodejs v.12.11.0` (разницы к версии как показали тесты не имеет значение).
На `Windows 10 Enterprise v.1803` `Openssl v. 1.1.1b-gost-0.24` x64 с `npm` из пакета `node v.10.16.3` или `nodejs v.12.11.0` совместима и не мешает работе `npm`.

Источник обсуждения моей ошибки: https://github.com/nodejs/help/issues/2211

Отредактировано пользователем 30 сентября 2019 г. 19:59:32(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#565 Оставлено : 1 октября 2019 г. 0:48:57(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: J. Перейти к цитате
Добрый день.
`Openssl v. 1.1.1b-gost-0.24` x64 (источник) с использованием библиотеки `gostengy` (источник) после установки на `Windows 10 Enterprise v.1903 (18362.387)` у меня возникла ошибка совместимости работы с `npm` из пакета `node v.10.16.3` или `nodejs v.12.11.0` (разницы к версии как показали тесты не имеет значение).
На `Windows 10 Enterprise v.1803` `Openssl v. 1.1.1b-gost-0.24` x64 с `npm` из пакета `node v.10.16.3` или `nodejs v.12.11.0` совместима и не мешает работе `npm`.

Источник обсуждения моей ошибки: https://github.com/nodejs/help/issues/2211

Судя по стеку, приложение node слинковано с openssl статически, это означает непредсказуемость в работе динамически подгружаемых ENGINE (не важно каких), так как они опираются на динамическую связку с libcrypto, которая подгружаясь в память приложения начинает конфликтовать с уже проинициализированными в рамках статического связывания данными. Получается каша с непредсказуемыми результатами.

Это старая известная проблема общего вида, из-за неё мы специально делаем билд nginx (https://github.com/deemru/nginx/releases) только чтобы просто он собирался с динамической линковкой с openssl.

Похоже вам следует пойти тем же путём и собирать "проблемное" приложение самостоятельно с динамическим связыванием с openssl.

Знания в базе знаний, поддержка в техподдержке
Offline Aleksandr G*  
#566 Оставлено : 1 октября 2019 г. 9:33:43(UTC)
Aleksandr G*

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2016(UTC)
Сообщений: 126

Сказал(а) «Спасибо»: 8 раз
Поблагодарили: 35 раз в 28 постах
Сталкивались с падением nodejs при статической линковке. Решалось удалением второй инициализации engine в InitCryptoOnce (https://github.com/nodejs/node/issues/7651).

Отредактировано пользователем 1 октября 2019 г. 9:37:07(UTC)  | Причина: Не указана

Offline Андрей Степанов  
#567 Оставлено : 7 ноября 2019 г. 17:05:25(UTC)
Андрей Степанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 9
Откуда: Москва

Сказал(а) «Спасибо»: 3 раз
Почему в systemctl status nginx может возникать данная ошибка? (сам nginx рабочий)
<capi20>CertGetCertificateContextProperty!failed: LastError = 0x80092004

Причём на nginx собранным с cpro 4 такой ошибки нету, а на nginx с cpro 5 выдает данную ошибку.

Отредактировано пользователем 7 ноября 2019 г. 18:18:13(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#568 Оставлено : 7 ноября 2019 г. 18:23:13(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Скорее всего это не ошибка, а излишне разговорчивый логгер, в новых версиях будет потише.
Знания в базе знаний, поддержка в техподдержке
Offline Coriolis  
#569 Оставлено : 4 декабря 2019 г. 18:33:13(UTC)
Coriolis

Статус: Участник

Группы: Участники
Зарегистрирован: 09.08.2018(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 4 раз
Поблагодарили: 3 раз в 2 постах
Доброго времени суток!
Столкнулся с проблемой, не знаю даже с какой стороны подойти. (-keyform ENGINE указан Speak to the hand )
unable to load signing key file
Есть два сертификата, по обоим можно зайти на сайт (например) на mdlp.crpt.ru, подпись срабатывает, всё ок.
Но вот когда в своём ПО пытаюсь подписать, с одним сертификатом норм с другим ошибка.
Вот конфиг openssl:
Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = gostengy
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1



Вот сделал контрольный пример:
Код:
c:\Temp\testsign>set OPENSSL_CONF=.\openssl.cfg

c:\Temp\testsign>openssl.exe
OpenSSL> engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 185515 $)
OpenSSL> cms -sign -in "in.bin" -signer cert_shevard.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy
 -keyform ENGINE -inkey "00 41 e8 41 68 a0 ea 05 14 51 1a 7c 02 de b0 12 de 12 d2 f9"
engine "gostengy" set.
OpenSSL>
OpenSSL>
OpenSSL> cms -sign -in "in.bin" -signer cert.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy -keyfor
m ENGINE -inkey "b4 16 85 05 0c 02 f5 52 e3 b7 3b 22 aa 83 fe f2 19 f3 74 f5"
engine "gostengy" set.
cannot load signing key file from engine
7368:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file
error in cms
OpenSSL> version
OpenSSL 1.1.0k  28 May 2019
OpenSSL>


Win8.1
КпиптоПРО CSP 4.0.9963
Ядро СКЗИ 4.0.9019 КС1
[img=https://yadi.sk/i/LdBiOPDKkw3Fng]Версия КриптоПРО[/img]

Сами сертификаты конечно различаются. Они на разные юрлица и у того который работает нормально есть в составе пункт "Ограниченная лицензия", а вот в том которые не работает через gostengy там такого нет. Ну и там всякое различается, если надо я могу сюда приложить открытую часть и того и того.

Обидно что обнаружилось такое уже у клиентов, начали ставить когда уже массово а тут такое.
Offline Дмитрий Пичулин  
#570 Оставлено : 4 декабря 2019 г. 18:58:26(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Coriolis Перейти к цитате
OpenSSL> cms -sign -in "in.bin" -signer cert.cer -out "out.signed" -outform DER -noattr -binary -engine gostengy -keyfor
m ENGINE -inkey "b4 16 85 05 0c 02 f5 52 e3 b7 3b 22 aa 83 fe f2 19 f3 74 f5"
engine "gostengy" set.
cannot load signing key file from engine
7368:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:crypto\engine\eng_pkey.c:78:
unable to load signing key file

Вы уверены в аргументах, в вашем хранилище точно есть сертификат с отпечатком "b4 16 85 05 0c 02 f5 52 e3 b7 3b 22 aa 83 fe f2 19 f3 74 f5"?

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
67 Страницы«<5556575859>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.