Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
То есть, всё работает, сломался только ssh? |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
В FAQ добавили ответ на вопрос: " Как настроить одновременную работу ГОСТ и RSA в nginx?" |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
В FAQ добавили ответ на вопрос: " Как сконфигурировать Apache httpd?" |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21  Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Проделали, то что описано во 2 коментарии. Заработало все кроме: Автор: pd  Как настроить одновременную работу ГОСТ и RSA в nginx?Под "одновременной работой" подразумевается, что при наличии у пользователя поддержки ГОСТ — открывается сайт на ГОСТ, в случае отсутствия поддержки ГОСТ — сайт на RSA. При этом адрес сайта остается неизменным и все действия происходят "прозрачно" для пользователя. Сайты могут отображать как одинаковое содержимое, так и различное, в зависимости от конфигурации. Дальнейшие шаги предполагают, что у вас уже имеются конфигурации сайтов на ГОСТ и RSA, которые находятся на разных портах, тогда для одновременной работы необходимо: - Собрать nginx с патчем GOST_SWitchPatch:
 GOST_SWitchPatch_20150427.zip (2kb) загружен 6 раз(а).
- Выбрать единый порт слушателя для сайтов ГОСТ и RSA (например стандартный для https 443)
- Привязать слушателя в конфигурации сайта ГОСТ ко всем сетевым интерфейсам (например "listen 443 ssl;")
- Привязать слушателя в конфигурации сайта RSA к явно указанному интерфейсу (например "listen 127.0.0.1:443 ssl;")
- Работа патча будет заключаться в "прозрачном" для пользователя переключении на сайт RSA при отсутствии ГОСТ сюит в client_hello
Имеем nginx собраный с применением вашего патча: Код:root@b16:/home/kalinin# nginx -V
nginx version: nginx/1.8.0
built by gcc 4.9.2 (Debian 4.9.2-10)
built with OpenSSL 1.0.1k 8 Jan 2015
TLS SNI support enabled
......
На нем настраиваем 2 виртуальных хоста: Код:server {
listen 443 ssl;
server_name localhost;
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate /home/kalinin/linux-amd64/le-6a1ee.000/xxxxxx.ru.cer;
ssl_certificate_key engine:gost_capi:xxxxxx.ru;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
Код:server {
listen localhost:443 ssl;
server_name localhost;
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_certificate /home/kalinin/linux-amd64/le-6a1ee.000/xxxxxxx.rsa.crt;
ssl_certificate_key /home/kalinin/linux-amd64/le-6a1ee.000/xxxxxxx.rsa.key;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:MEDIUM;
ssl_prefer_server_ciphers on;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}
Получаем отсутствие "прозрачной трансляции". По отдельности работает. Т.е. пользователь с софтом который умеет ГОСТы попадает на виртуальный хост с сертификатами на ГОСТах. Пользователь без ГОСТов обратившись напрямую в вируальный хост с RSA тоже радуется, но обратившись на виртуальный хост с ГОСТовыми сертификатами увидит ошибку. Код:$ openssl s_client -debug -connect 10.1.1.16:443
CONNECTED(00000003)
write to 0x1cbe4d0 [0x1cbea70] (308 bytes => 308 (0x134))
0000 - 16 03 01 01 2f 01 00 01-2b 03 03 56 0d 40 e0 cf ..../...+..V.@..
0010 - 9c 54 6e 03 c3 4d 4c d1-a5 6a eb f1 7a ef de df .Tn..ML..j..z...
0020 - b7 d8 49 cb f7 dd 02 e8-12 47 dc 00 00 92 c0 30 ..I......G.....0
0030 - c0 2c c0 28 c0 24 c0 14-c0 0a 00 a3 00 9f 00 6b .,.(.$.........k
0040 - 00 6a 00 39 00 38 00 88-00 87 c0 32 c0 2e c0 2a .j.9.8.....2...*
0050 - c0 26 c0 0f c0 05 00 9d-00 3d 00 35 00 84 c0 12 .&.......=.5....
0060 - c0 08 00 16 00 13 c0 0d-c0 03 00 0a c0 2f c0 2b ............./.+
0070 - c0 27 c0 23 c0 13 c0 09-00 a2 00 9e 00 67 00 40 .'.#.........g.@
0080 - 00 33 00 32 00 9a 00 99-00 45 00 44 c0 31 c0 2d .3.2.....E.D.1.-
0090 - c0 29 c0 25 c0 0e c0 04-00 9c 00 3c 00 2f 00 96 .).%.......<./..
00a0 - 00 41 c0 11 c0 07 c0 0c-c0 02 00 05 00 04 00 15 .A..............
00b0 - 00 12 00 09 00 14 00 11-00 08 00 06 00 03 00 ff ................
00c0 - 02 01 00 00 6f 00 0b 00-04 03 00 01 02 00 0a 00 ....o...........
00d0 - 34 00 32 00 0e 00 0d 00-19 00 0b 00 0c 00 18 00 4.2.............
00e0 - 09 00 0a 00 16 00 17 00-08 00 06 00 07 00 14 00 ................
00f0 - 15 00 04 00 05 00 12 00-13 00 01 00 02 00 03 00 ................
0100 - 0f 00 10 00 11 00 23 00-00 00 0d 00 22 00 20 06 ......#.....". .
0110 - 01 06 02 06 03 05 01 05-02 05 03 04 01 04 02 04 ................
0120 - 03 03 01 03 02 03 03 02-01 02 02 02 03 01 01 00 ................
0130 - 0f 00 01 01 ....
read from 0x1cbe4d0 [0x1cc3fd0] (7 bytes => 7 (0x7))
0000 - 15 03 03 00 02 02 28 ......(
139857074828944:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:749:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 308 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---
Что посоветуете?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: expelled Что посоветуете? вместо localhost пробовали 127.0.0.1? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: pd вместо localhost пробовали 127.0.0.1?
Попробовал, не помогло. Вижу что 26 обновили gost_capi, есть смысл пробовать его обновлять?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: expelled Автор: pd вместо localhost пробовали 127.0.0.1?
Попробовал, не помогло. Вижу что 26 обновили gost_capi, есть смысл пробовать его обновлять? Нет, не проверяли этот патч на 1.8.0, сейчас проверим. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: pd Автор: expelled Автор: pd вместо localhost пробовали 127.0.0.1?
Попробовал, не помогло. Вижу что 26 обновили gost_capi, есть смысл пробовать его обновлять? Нет, не проверяли этот патч на 1.8.0, сейчас проверим. Проверили - всё работает. Попробуйте наши конфиги и расскажите подробнее как тестируете? GOST: Код:
listen 443 ssl;
server_name xxxxxxx;
ssl_certificate ../cert/xxxxxxx.gost.crt;
ssl_certificate_key "engine:gost_capi:xxxxxxx";
ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;
RSA: Код:
listen 127.0.0.1:443 ssl;
server_name xxxxxxx;
ssl_certificate ../cert/xxxxxxx.rsa.crt;
ssl_certificate_key ../cert/xxxxxxx.rsa.key;
ssl_ciphers HIGH:MEDIUM;
ssl_prefer_server_ciphers on;
Отредактировано пользователем 1 октября 2015 г. 18:12:07(UTC)
| Причина: fix |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: pd
Проверили - всё работает.
После обновления gost_capi заработало. Спасибо.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Переделали боевую конфигурацию на работу по подобной схеме. У нас nginx обсуживает несколько поддоменов. Получается следующая картина:
- По ГОСТ все работает.
- По RSA получается подключиться только при помощи openssl s_client. Все браузеры выдают ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Цитата:Можно ли использовать gost_capi в качестве прокси-сервера в nginx?
Функциональных препятствий не обнаружено, но не тестировалось Работает.
|
1 пользователь поблагодарил expelled за этот пост.
|
pd оставлено 05.10.2015(UTC)
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
