Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

31 Страницы«<678910>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#141 Оставлено : 10 августа 2015 г. 14:06:25(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
То есть, всё работает, сломался только ssh?
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#142 Оставлено : 11 августа 2015 г. 12:12:01(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
В FAQ добавили ответ на вопрос: "Как настроить одновременную работу ГОСТ и RSA в nginx?"
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
Андрей * оставлено 11.08.2015(UTC)
Offline Дмитрий Пичулин  
#143 Оставлено : 8 сентября 2015 г. 12:21:51(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
В FAQ добавили ответ на вопрос: "Как сконфигурировать Apache httpd?"


Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#144 Оставлено : 1 октября 2015 г. 17:24:34(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Проделали, то что описано во 2 коментарии.
Заработало все кроме:
Автор: pd Перейти к цитате

Как настроить одновременную работу ГОСТ и RSA в nginx?

Под "одновременной работой" подразумевается, что при наличии у пользователя поддержки ГОСТ — открывается сайт на ГОСТ, в случае отсутствия поддержки ГОСТ — сайт на RSA. При этом адрес сайта остается неизменным и все действия происходят "прозрачно" для пользователя. Сайты могут отображать как одинаковое содержимое, так и различное, в зависимости от конфигурации.

Дальнейшие шаги предполагают, что у вас уже имеются конфигурации сайтов на ГОСТ и RSA, которые находятся на разных портах, тогда для одновременной работы необходимо:

  • Собрать nginx с патчем GOST_SWitchPatch: GOST_SWitchPatch_20150427.zip (2kb) загружен 5 раз(а).

  • Выбрать единый порт слушателя для сайтов ГОСТ и RSA (например стандартный для https 443)

  • Привязать слушателя в конфигурации сайта ГОСТ ко всем сетевым интерфейсам (например "listen 443 ssl;")

  • Привязать слушателя в конфигурации сайта RSA к явно указанному интерфейсу (например "listen 127.0.0.1:443 ssl;")

  • Работа патча будет заключаться в "прозрачном" для пользователя переключении на сайт RSA при отсутствии ГОСТ сюит в client_hello



Имеем nginx собраный с применением вашего патча:
Код:
root@b16:/home/kalinin# nginx -V
nginx version: nginx/1.8.0
built by gcc 4.9.2 (Debian 4.9.2-10) 
built with OpenSSL 1.0.1k 8 Jan 2015
TLS SNI support enabled
......


На нем настраиваем 2 виртуальных хоста:
Код:
server {
    listen       443 ssl;
    server_name  localhost;

    ssl on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_certificate /home/kalinin/linux-amd64/le-6a1ee.000/xxxxxx.ru.cer;
    ssl_certificate_key engine:gost_capi:xxxxxx.ru;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;
    ssl_ciphers  HIGH:MEDIUM:+GOST2001-GOST89;
    ssl_prefer_server_ciphers   on;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

Код:
server {
    listen       localhost:443 ssl;
    server_name  localhost;

    ssl on;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_certificate /home/kalinin/linux-amd64/le-6a1ee.000/xxxxxxx.rsa.crt;
    ssl_certificate_key /home/kalinin/linux-amd64/le-6a1ee.000/xxxxxxx.rsa.key;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;
    ssl_ciphers  HIGH:MEDIUM;
    ssl_prefer_server_ciphers   on;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}


Получаем отсутствие "прозрачной трансляции".
По отдельности работает.
Т.е. пользователь с софтом который умеет ГОСТы попадает на виртуальный хост с сертификатами на ГОСТах. Пользователь без ГОСТов обратившись напрямую в вируальный хост с RSA тоже радуется, но обратившись на виртуальный хост с ГОСТовыми сертификатами увидит ошибку.
Код:
$ openssl s_client -debug -connect 10.1.1.16:443
CONNECTED(00000003)
write to 0x1cbe4d0 [0x1cbea70] (308 bytes => 308 (0x134))
0000 - 16 03 01 01 2f 01 00 01-2b 03 03 56 0d 40 e0 cf   ..../...+..V.@..
0010 - 9c 54 6e 03 c3 4d 4c d1-a5 6a eb f1 7a ef de df   .Tn..ML..j..z...
0020 - b7 d8 49 cb f7 dd 02 e8-12 47 dc 00 00 92 c0 30   ..I......G.....0
0030 - c0 2c c0 28 c0 24 c0 14-c0 0a 00 a3 00 9f 00 6b   .,.(.$.........k
0040 - 00 6a 00 39 00 38 00 88-00 87 c0 32 c0 2e c0 2a   .j.9.8.....2...*
0050 - c0 26 c0 0f c0 05 00 9d-00 3d 00 35 00 84 c0 12   .&.......=.5....
0060 - c0 08 00 16 00 13 c0 0d-c0 03 00 0a c0 2f c0 2b   ............./.+
0070 - c0 27 c0 23 c0 13 c0 09-00 a2 00 9e 00 67 00 40   .'.#.........g.@
0080 - 00 33 00 32 00 9a 00 99-00 45 00 44 c0 31 c0 2d   .3.2.....E.D.1.-
0090 - c0 29 c0 25 c0 0e c0 04-00 9c 00 3c 00 2f 00 96   .).%.......<./..
00a0 - 00 41 c0 11 c0 07 c0 0c-c0 02 00 05 00 04 00 15   .A..............
00b0 - 00 12 00 09 00 14 00 11-00 08 00 06 00 03 00 ff   ................
00c0 - 02 01 00 00 6f 00 0b 00-04 03 00 01 02 00 0a 00   ....o...........
00d0 - 34 00 32 00 0e 00 0d 00-19 00 0b 00 0c 00 18 00   4.2.............
00e0 - 09 00 0a 00 16 00 17 00-08 00 06 00 07 00 14 00   ................
00f0 - 15 00 04 00 05 00 12 00-13 00 01 00 02 00 03 00   ................
0100 - 0f 00 10 00 11 00 23 00-00 00 0d 00 22 00 20 06   ......#.....". .
0110 - 01 06 02 06 03 05 01 05-02 05 03 04 01 04 02 04   ................
0120 - 03 03 01 03 02 03 03 02-01 02 02 02 03 01 01 00   ................
0130 - 0f 00 01 01                                       ....
read from 0x1cbe4d0 [0x1cc3fd0] (7 bytes => 7 (0x7))
0000 - 15 03 03 00 02 02 28                              ......(
139857074828944:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:749:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 308 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---


Что посоветуете?
Offline Дмитрий Пичулин  
#145 Оставлено : 1 октября 2015 г. 17:31:39(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
Автор: expelled Перейти к цитате
Что посоветуете?

вместо localhost пробовали 127.0.0.1?



Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#146 Оставлено : 1 октября 2015 г. 17:47:47(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
вместо localhost пробовали 127.0.0.1?


Попробовал, не помогло.
Вижу что 26 обновили gost_capi, есть смысл пробовать его обновлять?
Offline Дмитрий Пичулин  
#147 Оставлено : 1 октября 2015 г. 17:51:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
Автор: expelled Перейти к цитате
Автор: pd Перейти к цитате
вместо localhost пробовали 127.0.0.1?


Попробовал, не помогло.
Вижу что 26 обновили gost_capi, есть смысл пробовать его обновлять?

Нет, не проверяли этот патч на 1.8.0, сейчас проверим.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#148 Оставлено : 1 октября 2015 г. 18:06:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
Автор: pd Перейти к цитате
Автор: expelled Перейти к цитате
Автор: pd Перейти к цитате
вместо localhost пробовали 127.0.0.1?


Попробовал, не помогло.
Вижу что 26 обновили gost_capi, есть смысл пробовать его обновлять?

Нет, не проверяли этот патч на 1.8.0, сейчас проверим.

Проверили - всё работает.

Попробуйте наши конфиги и расскажите подробнее как тестируете?

GOST:
Код:

        listen                      443 ssl;
        server_name                 xxxxxxx;
        
        ssl_certificate             ../cert/xxxxxxx.gost.crt;
        ssl_certificate_key         "engine:gost_capi:xxxxxxx";
        
        ssl_protocols               TLSv1;
        ssl_ciphers                 HIGH:MEDIUM:+GOST2001-GOST89;
        ssl_prefer_server_ciphers   on;


RSA:
Код:

        listen                      127.0.0.1:443 ssl;
        server_name                 xxxxxxx;
        
        ssl_certificate             ../cert/xxxxxxx.rsa.crt;
        ssl_certificate_key         ../cert/xxxxxxx.rsa.key;
        
        ssl_ciphers                 HIGH:MEDIUM;
        ssl_prefer_server_ciphers   on;

Отредактировано пользователем 1 октября 2015 г. 18:12:07(UTC)  | Причина: fix

Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#149 Оставлено : 1 октября 2015 г. 18:30:34(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате

Проверили - всё работает.


После обновления gost_capi заработало.
Спасибо.

Offline expelled  
#150 Оставлено : 2 октября 2015 г. 13:02:54(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Переделали боевую конфигурацию на работу по подобной схеме. У нас nginx обсуживает несколько поддоменов.
Получается следующая картина:

  • По ГОСТ все работает.
  • По RSA получается подключиться только при помощи openssl s_client. Все браузеры выдают ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Цитата:
Можно ли использовать gost_capi в качестве прокси-сервера в nginx?

Функциональных препятствий не обнаружено, но не тестировалось


Работает.
thanks 1 пользователь поблагодарил expelled за этот пост.
pd оставлено 05.10.2015(UTC)
Offline Дмитрий Пичулин  
#151 Оставлено : 2 октября 2015 г. 13:07:51(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
Автор: expelled Перейти к цитате
Получается следующая картина:

  • По ГОСТ все работает.
  • По RSA получается подключиться только при помощи openssl s_client. Все браузеры выдают ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Странно, мы в основном как раз браузерами проверяем.

Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?

Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#152 Оставлено : 2 октября 2015 г. 13:29:41(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате

Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?


Да, работает.
Offline Дмитрий Пичулин  
#153 Оставлено : 2 октября 2015 г. 13:34:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
Автор: expelled Перейти к цитате
Автор: pd Перейти к цитате

Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?


Да, работает.

Присылайте конфиги и шаги воспроизведения, мы таких ошибок ни разу не видели.
Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#154 Оставлено : 2 октября 2015 г. 14:25:23(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Автор: expelled Перейти к цитате
Автор: pd Перейти к цитате

Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?


Да, работает.

Присылайте конфиги и шаги воспроизведения, мы таких ошибок ни разу не видели.


В атаче директория с конфигурацией nginx.
Сертификаты и ключи не прикладываю, по понятным причинам.

Для проверки по этой конфигурации вам нужно завести 2 домена:

  • example.ru
  • a.example.ru


На нашем стенде используются CSP 3.9, gost_capi 20150926, nginx 1.8.0 c патчем 20150427.
OpenSSL:
Код:
root@b16:/home/kalinin# openssl version
OpenSSL 1.0.1k 8 Jan 2015
root@b16:/home/kalinin# openssl engine
(rsax) RSAX engine support
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 127755 $)


В качестве клиентов используем:

  • хост с Win 8.1 на котором есть CSP 3.9
  • хост с OpenSUSE 13.2 на котором настроен gost engine, тот что идет в поставке OpenSSL

Подключение по ГОСТу проходит на обоих хостах.
Подключение по RSA валится, в браузерах, на обох хостах.
При это на хосте с OpenSUSE при помощи openssl s_client получается подключиться, и по ГОСТ, и по RSA.

nginx_for_cryptopro.zip (17kb) загружен 13 раз(а).
Offline Дмитрий Пичулин  
#155 Оставлено : 2 октября 2015 г. 14:54:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
Автор: expelled Перейти к цитате

Для проверки по этой конфигурации вам нужно завести 2 домена:

  • example.ru
  • a.example.ru

Ошибка в том, что вы вешаете на порт 4 конфигурации, 2 ГОСТ + 2 RSA.

На текущий момент мы реализовали переключение только между двумя конфигурациями на порту, 1 ГОСТ + 1 RSA.

Уберите например a.example.ru и всё заработает.
Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#156 Оставлено : 2 октября 2015 г. 15:23:01(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Автор: expelled Перейти к цитате

Для проверки по этой конфигурации вам нужно завести 2 домена:

  • example.ru
  • a.example.ru

Ошибка в том, что вы вешаете на порт 4 конфигурации, 2 ГОСТ + 2 RSA.

На текущий момент мы реализовали переключение только между двумя конфигурациями на порту, 1 ГОСТ + 1 RSA.

Уберите например a.example.ru и всё заработает.


Да, при конфигурации с 1 доменом будет работать.
Но у нас двухзначное число поддоменов, не содержать же хостов по количеству доменов. А их еще и резервировать нужно..
Есть шанс что когда-нибудь nginx c вашим патчем + gost_capi сможет и такую конфигурацию?

Отредактировано пользователем 2 октября 2015 г. 15:25:31(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#157 Оставлено : 2 октября 2015 г. 15:27:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
Автор: expelled Перейти к цитате
Но у нас двухзначное число поддоменов, не содержать же хостов по количеству доменов.

Да, мы подобные конфигурации не тестировали, сейчас посмотрим, что можно улучшить.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
expelled оставлено 02.10.2015(UTC)
Offline Дмитрий Пичулин  
#158 Оставлено : 5 октября 2015 г. 12:53:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 987
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 26 раз
Поблагодарили: 159 раз в 137 постах
В FAQ обновили патч в вопросе: "Как настроить одновременную работу ГОСТ и RSA в nginx?"

Добавлена поддержка server_name. То есть, можно использовать переключение ГОСТ или RSA на более чем одной конфигурации на порту.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
expelled оставлено 05.10.2015(UTC)
Offline expelled  
#159 Оставлено : 5 октября 2015 г. 18:35:57(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
В FAQ обновили патч в вопросе: "Как настроить одновременную работу ГОСТ и RSA в nginx?"

Добавлена поддержка server_name. То есть, можно использовать переключение ГОСТ или RSA на более чем одной конфигурации на порту.


Проверили работоспособность. Пока смотрели без нагрузки, все работает.

Отредактировано пользователем 6 октября 2015 г. 16:28:16(UTC)  | Причина: Не указана

Offline JoNy202  
#160 Оставлено : 11 ноября 2015 г. 16:01:15(UTC)
JoNy202

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.11.2015(UTC)
Сообщений: 1

Кто нибудь пробовал наладить работу gost_capi и Stunnel 5.26

при загрузке ключа вылетает ошибка:
Цитата:

Loading key from file: client.key
[!] error queue: 140B0009: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
[!] error queue: 907B00D: error:0907B00D:PEM routines:PEM_READ_BIO_PRIVATEKEY:ASN1 lib
[!] error queue: 606F091: error:0606F091:digital envelope routines:EVP_PKCS82PKEY:private key decode error
[!] error queue: 2006D002: error:2006D002:BIO routines:BIO_new_file:system lib
[!] SSL_CTX_use_PrivateKey_file: 2001005: error:02001005:system library:fopen:Input/output error
[!] Service [https]: Failed to initialize SSL context
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
31 Страницы«<678910>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.