Статус: Новичок
Группы: Участники
Зарегистрирован: 02.07.2020(UTC) Сообщений: 4  Откуда: Москва
|
Автор: Дмитрий Пичулин  Автор: Denis007 Вот еще вопросы:
1) Надо ли переводить рутовый сертификат в КС2 формат и как?
1) зависит от ваших требований, по умолчанию надо, в скриптах это есть У меня не получается изменить тип сертификата:Код:root@df7d5d031200:/# /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -cont '\\.\HDIMAGE\ba1506bc.000\F6D7' -provtype 81 -provname 'Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP'
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
Failed to acquire context
Provider DLL failed to initialize correctly.
[ErrorCode: 0x8009001d]
Код:root@df7d5d031200:/# /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores
=============================================================================
1-------
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject : E=ХХХ, OU=ХХХ, O="ХХХ", L=Москва, C=RU, CN=Тестовый пользователь 2020
Serial : 0x0253DAA50025AB11A84C6F0E0B264B1245
SHA1 Hash : bd08b6cf23789d2f6a0de4000acbf208074dd589
SubjKeyID : f797c3edfcc2e8968b418d68ddea0c344abdd416
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 16/12/2019 09:53:51 UTC
Not valid after : 16/12/2024 10:03:51 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\ba1506bc.000\F6D7
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0
OCSP URL : http://ocsp.cryptopro.ru/ocsp2012/ocsp.srf
CA cert URL : http://cpca20.cryptopro.ru/aia/2f0f30ee1b2e93dae26d835df02636b8119486dd.crt
CDP : http://cdp.cryptopro.ru/cdp/2f0f30ee1b2e93dae26d835df02636b8119486dd.crl
CDP : http://cpca20.cryptopro.ru/cdp/2f0f30ee1b2e93dae26d835df02636b8119486dd.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2
1.3.6.1.5.5.7.3.4
1.2.643.2.2.34.6
=============================================================================
[ErrorCode: 0x00000000]
Код:root@df7d5d031200:/# dpkg-query --list | grep csp
ii cprocsp-cpopenssl-110-64 5.0.11803-6 amd64 OpenSSL-110. Build 11803.
ii cprocsp-cpopenssl-110-base 5.0.11803-6 all Openssl-110 common Build 11803.
ii cprocsp-cpopenssl-110-devel 5.0.11803-6 all Openssl-110 devel Build 11803.
ii cprocsp-cpopenssl-110-gost-64 5.0.11803-6 amd64 OpenSSL-110 gostengy engine. Build 11803.
ii cprocsp-curl-64 4.0.9963-5 amd64 CryptoPro Curl shared library and binaris. Build 9963.
ii lsb-cprocsp-base 4.0.9963-5 all CryptoPro CSP directories and scripts. Build 9963.
ii lsb-cprocsp-ca-certs 4.0.9963-5 all CA certificates. Build 9963.
ii lsb-cprocsp-capilite-64 4.0.9963-5 amd64 CryptoAPI lite. Build 9963.
ii lsb-cprocsp-kc1-64 4.0.9963-5 amd64 CryptoPro CSP KC1. Build 9963.
ii lsb-cprocsp-kc2-64 4.0.9963-6 amd64 CryptoPro CSP KC2. Build 9963.
ii lsb-cprocsp-rdr-64 4.0.9963-5 amd64 CryptoPro CSP readers. Build 9963.
Сертификаты ставлю следующим образом:Код:/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -del HDIMAGE
/opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store
yes o | /opt/cprocsp/bin/amd64/certmgr -inst -file ${ROOT_CERT} -store mroot
read IP_STORE <<< $(/opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn | awk -F 'HDIMAGE\' '{ print $2 }')
/opt/cprocsp/bin/amd64/certmgr -inst -file ${CLIENT_CERT} -cont '\\.\HDIMAGE\'${IP_STORE}
Отредактировано пользователем 10 июля 2020 г. 16:15:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
подскажите, пожалуйста. смотрим через тлс прокси (cpro+cpopenssl+nginx) на ресурс https://testgost2012.cryptopro.ru/ - все ОК Пытаемся аналогично смотреть на https://portal.fincert.cbr.ru - неудача, при этом этот же ресурс доступен с вин-машины ie11+криптопро csp Как подступиться к поиску почему не работает, посоветуйте? == openssl s_connect - соединяется, но с "Verify return code: 21 (unable to verify the first certificate)" если через прокси SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream ресурс https://portal.fincert.cbr.ru - на сертификате неквал корня, корень в хранилище mroot добавлен.. Хотя бы понять, что дальше пути нет - уже победа, но непонятно что причина.. proxy_pass https://portal.fincert.cbr.ru; #proxy_pass https://testgost2012.cryptopro.ru; - ок proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,492  Сказал «Спасибо»: 53 раз
Поблагодарили: 803 раз в 742 постах
|
Автор: lab2 подскажите, пожалуйста. смотрим через тлс прокси (cpro+cpopenssl+nginx) на ресурс https://testgost2012.cryptopro.ru/ - все ОК Пытаемся аналогично смотреть на https://portal.fincert.cbr.ru - неудача, при этом этот же ресурс доступен с вин-машины ie11+криптопро csp Как подступиться к поиску почему не работает, посоветуйте? == openssl s_connect - соединяется, но с "Verify return code: 21 (unable to verify the first certificate)" если через прокси SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream ресурс https://portal.fincert.cbr.ru - на сертификате неквал корня, корень в хранилище mroot добавлен.. Хотя бы понять, что дальше пути нет - уже победа, но непонятно что причина.. proxy_pass https://portal.fincert.cbr.ru; #proxy_pass https://testgost2012.cryptopro.ru; - ок proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2; Здравствуйте. Возможно, Вам поможет информация из этой темы. Поиск нужного корневого сертификата приводит к этому архиву. |
|
 1 пользователь поблагодарил Александр Лавник за этот пост.
|
lab2 оставлено 23.07.2020(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
Ок, спасибо, в пачке сертов из архива корень, сос, и куча сертификатов сервера
Корень, как я писал, установлен в хранилище мрут. Сос не устпнавливал, т. к. не проверяется по умолчанию.
Проверю еще раз.
Там чудной корень с точками сдп и аиа
Спасибо за отклик
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
|
Автор: lab2 Ок, спасибо, в пачке сертов из архива корень, сос, и куча сертификатов сервера
Корень, как я писал, установлен в хранилище мрут. Сос не устпнавливал, т. к. не проверяется по умолчанию.
Проверю еще раз.
Там чудной корень с точками сдп и аиа
Спасибо за отклик Проблема не в этом, посмотрите в гугле "SSL alert number 40". Похоже надо в некоторых случаях (в вашем случае) необходимо использовать proxy_ssl_name и proxy_ssl_server_name. |
|
1 пользователь поблагодарил pd за этот пост.
|
lab2 оставлено 24.07.2020(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
Да, proxy_ssl_name и proxy_ssl_servername решили проблему!
Спасибо!!!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
Столкнулись с проблемой, для гост-криптографии не работает директива proxy_ssl_verify onт.е. для location / { proxy_pass https://testgost2012.cryptopro.ru; proxy_ssl_trusted_certificate cpt_bundle.crt; proxy_ssl_verify on; #proxy_redirect off; #proxy_ssl_name "testgost2012.cryptopro.ru"; #proxy_ssl_server_name on; #proxy_ssl_session_reuse off; } ошибка upstream SSL certificate verify error: (7:certificate signature failure) while SSL handshaking to upstream, client: 192.168.2.30, server: localhost, request: "GET / HTTP/1.1", upstream: "https://193.37.157.45:443/", host: "192.168.2.49" == Может все используют для гост proxy_ssl_verify off ? (кстати, а .. какие проверки входят в "verify"?) Тот же конфиг для rsa работает, например, для https://nginx.org со соответствующим proxy_ssl_trusted_certificate Очень прошу кого нибудь промоделировать и подтвердить/опровергнуть хотя бы Спасибо!!
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
Друзья, понимаю, что большинство решений - когда обе стороны принадлежат нам самим, тогда можно выставить и Proxy_ssl_verify off
Но если подключаемся к чужому серверу, это же важно
Разве нет? Выскажитесь, что думаете по этому поводу..
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
|
Автор: lab2 Друзья, понимаю, что большинство решений - когда обе стороны принадлежат нам самим, тогда можно выставить и Proxy_ssl_verify off
Но если подключаемся к чужому серверу, это же важно
Разве нет? Выскажитесь, что думаете по этому поводу..
Конечно важно, поэтому можно: 1) проверять сертификат в самом приложении, от nginx получая переменную с сертификатом сервера (в крайнем случае, зашить сертификат явно, благо не должен часто обновляться) 2) можно разобраться почему не работает nginx, нам будет интересно, пока наших ошибок в логе не видим 3) можно использовать stunnel-msspi для проксирования, в нём мы знаем как работает verify досконально |
|
1 пользователь поблагодарил pd за этот пост.
|
lab2 оставлено 30.07.2020(UTC)
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.03.2019(UTC) Сообщений: 45 Сказал(а) «Спасибо»: 23 раз
Поблагодарили: 2 раз в 1 постах
|
Ок, спасибо! Смотрим сейчас в сторону п.1 Автор: pd
2) можно разобраться почему не работает nginx, нам будет интересно, пока наших ошибок в логе не видим
Про наши ошибки,смотрите, как я вижу дело точно в гост. Как я писал, тот же конфиг, но проксирующий ресурс на rsa сертификате работает с proxy_ssl_verify on Поэтому и вопрос в эту ветку Что скажете? == Pd, можно попросить вас проверить, что ошибка и у вас повторяется с location / { proxy_pass https://testgost2012.cryptopro.ru; proxy_ssl_trusted_certificate cpt_bundle.crt; proxy_ssl_verify on;
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
