Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<910111213>»
Опции
К последнему сообщению К первому непрочитанному
Offline valery.kazantsev  
#101 Оставлено : 16 апреля 2015 г. 15:25:41(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Автор: 4ertu Перейти к цитате
Здравствуйте, все заработало, спасибо за помощь, без вас бы не справилася.
Вы говорили, что на данный момент поддерживается только TLSv1, будет ли расширение поддержки и на другие версии?


Что Вы сделали, что у Вас заработало? У меня один в один беда. Только мне с КС2 никаких пертурбаций делать не требуется, я сразу ставил только КС2 и работал с ним. Точно также рвётся handshake.
Offline Дмитрий Пичулин  
#102 Оставлено : 16 апреля 2015 г. 15:29:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,440
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 410 раз в 305 постах
Автор: valery.kazantsev Перейти к цитате
У меня один в один беда. Только мне с КС2 никаких пертурбаций делать не требуется, я сразу ставил только КС2 и работал с ним. Точно также рвётся handshake.

Автор: pd Перейти к цитате
Как сконфигурировать nginx по шагам?

Подробное описание настройки по шагам в этой теме: http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=57216#post57216


Этой темой пробовали воспользоваться?
Знания в базе знаний, поддержка в техподдержке
Offline valery.kazantsev  
#103 Оставлено : 16 апреля 2015 г. 15:42:55(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Всё согласно данному описанию успешно выполнено.
Единственной обходное решение которые я сделал:
При установке cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64.rpm была ошибка зависимости procsp-cpopenssl-64, я установил с ключём --nodeps, далее openssl engine ругался на отсутствие библиотеки libcrypto.so.1.0.0, которую я подложил в /usr/lib64 из пакета openssl-1.0.0-27.el6_4.2.x86_64.rpm, т.к. на севрере стоит openssl-1.0.1e-15.el6.x86_64.
Пробовал так же:
Цитата:
# ln -s /usr/lib64/libcrypto.so.10 /usr/lib64/libcrypto.so.1.0.0
# /sbin/ldconfig /usr/lib64

Проблема сохраняется
Offline Дмитрий Пичулин  
#104 Оставлено : 16 апреля 2015 г. 15:45:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,440
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 410 раз в 305 постах
Автор: valery.kazantsev Перейти к цитате
Проблема сохраняется

Опишите вашу проблему подробнее, приложите логи nginx и gost_capi (желательно debug версии)
Знания в базе знаний, поддержка в техподдержке
Offline valery.kazantsev  
#105 Оставлено : 16 апреля 2015 г. 17:44:47(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Я завёл ещё заявку на эту тему #1832
В /var/loge/error.log следующее:
Код:
2015/04/16 18:37:01 [alert] 25902#0: *144 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
Password:Password:Password:2015/04/16 18:37:01 [crit] 25902#0: *144 SSL_do_handshake() failed (SSL: error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
2015/04/16 18:37:01 [alert] 25902#0: *145 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
Password:Password:Password:2015/04/16 18:37:01 [crit] 25902#0: *145 SSL_do_handshake() failed (SSL: error:1408B093:SSL routines:SSL3_GET_CLIENT_KEY_EXCHANGE:decryption failed) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431
2015/04/16 18:37:01 [alert] 25902#0: *146 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.0.155.9, server: 0.0.0.0:4431


В /var/opt/cprocsp/tmp/gost_capi.log ошибки:
Код:

...
DFFBABB5:0066 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0067 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0068 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0069 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B


debug версию пакета cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64 я честно говоря не встречал

Проблема сейчас заключается в том же - connection refused, разрыв на этапе SSL handshake.
Снимал дамп:
Код:

# ssldump port 4431
New TCP connection #1: 10.0.155.9(56393) <-> 10.0.155.159(4431)
1 1 0.0796 (0.0796) C>S Handshake
ClientHello
Version 3.3
cipher suites
Unknown value 0x81
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
compression methods
NULL
1 2 0.0803 (0.0006) S>C Handshake
ServerHello
Version 3.3
session_id[32]=
9e 99 c8 8a 91 66 46 55 61 c5 d0 96 14 d0 fc 1c
10 29 e7 55 c2 a2 a6 44 13 9c 2d 42 26 7b b7 91
cipherSuite Unknown value 0x81
compressionMethod NULL
1 3 0.0804 (0.0001) S>C Handshake
Certificate
1 4 0.0804 (0.0000) S>C Handshake
ServerHelloDone
1 0.0812 (0.0007) C>S TCP FIN
New TCP connection #2: 10.0.155.9(56395) <-> 10.0.155.159(4431)
2 1 0.0011 (0.0011) C>S Handshake
ClientHello
Version 3.1
cipher suites
Unknown value 0x81
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
compression methods
NULL
2 2 0.0019 (0.0007) S>C Handshake
ServerHello
Version 3.1
session_id[32]=
aa f3 e5 74 04 df ee ad 00 d4 e9 31 4d 79 47 44
80 8c e1 34 8e ef c9 77 01 c2 92 24 b9 0b e7 e3
cipherSuite Unknown value 0x81
compressionMethod NULL
2 3 0.0020 (0.0000) S>C Handshake
Certificate
2 4 0.0020 (0.0000) S>C Handshake
ServerHelloDone
2 5 0.1577 (0.1556) C>S Handshake
ClientKeyExchange
2 6 0.1577 (0.0000) C>S ChangeCipherSpec
2 7 0.1577 (0.0000) C>S Handshake
2 0.1725 (0.0148) S>C TCP FIN
2 0.1730 (0.0004) C>S TCP FIN
New TCP connection #3: 10.0.155.9(56397) <-> 10.0.155.159(4431)
3 1 0.0008 (0.0008) C>S Handshake
ClientHello
Version 3.0
cipher suites
SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_EMPTY_RENEGOTIATION_INFO_SCSV
compression methods
NULL
3 2 0.0029 (0.0021) S>C Alert
level fatal
value handshake_failure
3 0.0031 (0.0001) S>C TCP FIN
3 0.0041 (0.0009) C>S TCP FIN
New TCP connection #4: 10.0.155.9(56398) <-> 10.0.155.159(4431)
4 0.0010 (0.0010) C>S TCP FIN
4 0.0011 (0.0001) S>C TCP FIN
Offline valery.kazantsev  
#106 Оставлено : 16 апреля 2015 г. 17:50:26(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Я погулил код ошибки 0x8010006B. Пишут что контейнер заблокирован, неправильно введён PIN и всё такое.
Но у меня не заблокирован контейнер или по крайней мере я этого не вижу.
Offline Дмитрий Пичулин  
#107 Оставлено : 16 апреля 2015 г. 17:53:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,440
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 410 раз в 305 постах
Автор: valery.kazantsev Перейти к цитате

В /var/opt/cprocsp/tmp/gost_capi.log ошибки:
Код:

...
DFFBABB5:0066 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0067 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0068 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B
DFFBABB5:0069 (ngg_support_VKO:2344) ERROR: CryptImportKey = 0x8010006B


debug версию пакета cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64 я честно говоря не встречал


Имеется ввиду debug-овый gost_capi приложенный в начале темы, но не суть, так как и из этого лога вполне понятно, что CryptImportKey = 0x8010006B означает: "Нет доступа к карте. Введен неправильный PIN-код."

Конкретно эта проблема, вероятнее всего, связана с рабочими потоками запущенными из под другого пользователя нежели сам nginx.

Обратите особое внимание на этот пассаж в теме настройки по шагам (http://www.cryptopro.ru/forum2/default.aspx?g=posts&m=57216#post57216):

Автор: ElenaS Перейти к цитате
Настройка nginx

Пользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (http://nginx.org/ru/docs/ngx_core_module.html#user). Для этого в конфигурационном файле etc/nginx/nginx.conf укажите:
Код:
user = <имя пользователя>


<...>

После внесения изменений нужно запустить или перезапустить nginx.
Проверьте, что процессы nginx запущены от одного пользователя.
Код:
ps -aux | grep nginx


Знания в базе знаний, поддержка в техподдержке
Offline valery.kazantsev  
#108 Оставлено : 16 апреля 2015 г. 18:05:45(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Нет ну конечно я прекрасно знаком с архитектурой nginx, таких оплошностей не допустил бы.
nginx запускается и fork'ается от имени root. В конфиге nginx.conf чётким образом прописано:
Код:
user  root;

Все контейнеры КриптоПро и все действия я производил только от root'а и никаких сторонних пользователей не создавал в систем.
Может быть есть какое-то влияние unix permission на контейнер '/var/opt/cprocsp/keys/root/RaUser-6.001', может на контейнер выставить права 0600 например?
Offline valery.kazantsev  
#109 Оставлено : 16 апреля 2015 г. 18:07:43(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Код:

# cat /etc/nginx/nginx.conf

user  root;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  65;

    #gzip  on;

    include /etc/nginx/conf.d/*.conf;
}

Offline Дмитрий Пичулин  
#110 Оставлено : 16 апреля 2015 г. 18:11:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,440
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 410 раз в 305 постах
Скорее всего где-то, что-то пошло не по инструкции, тогда ошибку будет легко заметить даже на этом шаге:

Автор: pd Перейти к цитате
Как проверить работоспособность OpenSSL с gost_capi?

<...>

Проверить возможность подписи (должно выполниться без ошибок):

Код:
openssl cms -sign -engine gost_capi -keyform ENGINE -inkey www.vpngost.ru -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile /path/to/cert/www.vpngost.ru.cer -nodetach -signer /path/to/cert/www.vpngost.ru.cer


Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
67 Страницы«<910111213>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.