Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<1415161718>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#151 Оставлено : 2 октября 2015 г. 13:07:51(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: expelled Перейти к цитате
Получается следующая картина:

  • По ГОСТ все работает.
  • По RSA получается подключиться только при помощи openssl s_client. Все браузеры выдают ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Странно, мы в основном как раз браузерами проверяем.

Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?

Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#152 Оставлено : 2 октября 2015 г. 13:29:41(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате

Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?


Да, работает.
Offline Дмитрий Пичулин  
#153 Оставлено : 2 октября 2015 г. 13:34:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: expelled Перейти к цитате
Автор: pd Перейти к цитате

Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?


Да, работает.

Присылайте конфиги и шаги воспроизведения, мы таких ошибок ни разу не видели.
Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#154 Оставлено : 2 октября 2015 г. 14:25:23(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Автор: expelled Перейти к цитате
Автор: pd Перейти к цитате

Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?


Да, работает.

Присылайте конфиги и шаги воспроизведения, мы таких ошибок ни разу не видели.


В атаче директория с конфигурацией nginx.
Сертификаты и ключи не прикладываю, по понятным причинам.

Для проверки по этой конфигурации вам нужно завести 2 домена:

  • example.ru
  • a.example.ru


На нашем стенде используются CSP 3.9, gost_capi 20150926, nginx 1.8.0 c патчем 20150427.
OpenSSL:
Код:
root@b16:/home/kalinin# openssl version
OpenSSL 1.0.1k 8 Jan 2015
root@b16:/home/kalinin# openssl engine
(rsax) RSAX engine support
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 127755 $)


В качестве клиентов используем:

  • хост с Win 8.1 на котором есть CSP 3.9
  • хост с OpenSUSE 13.2 на котором настроен gost engine, тот что идет в поставке OpenSSL

Подключение по ГОСТу проходит на обоих хостах.
Подключение по RSA валится, в браузерах, на обох хостах.
При это на хосте с OpenSUSE при помощи openssl s_client получается подключиться, и по ГОСТ, и по RSA.

nginx_for_cryptopro.zip (17kb) загружен 16 раз(а).
Offline Дмитрий Пичулин  
#155 Оставлено : 2 октября 2015 г. 14:54:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: expelled Перейти к цитате

Для проверки по этой конфигурации вам нужно завести 2 домена:

  • example.ru
  • a.example.ru

Ошибка в том, что вы вешаете на порт 4 конфигурации, 2 ГОСТ + 2 RSA.

На текущий момент мы реализовали переключение только между двумя конфигурациями на порту, 1 ГОСТ + 1 RSA.

Уберите например a.example.ru и всё заработает.
Знания в базе знаний, поддержка в техподдержке
Offline expelled  
#156 Оставлено : 2 октября 2015 г. 15:23:01(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Автор: expelled Перейти к цитате

Для проверки по этой конфигурации вам нужно завести 2 домена:

  • example.ru
  • a.example.ru

Ошибка в том, что вы вешаете на порт 4 конфигурации, 2 ГОСТ + 2 RSA.

На текущий момент мы реализовали переключение только между двумя конфигурациями на порту, 1 ГОСТ + 1 RSA.

Уберите например a.example.ru и всё заработает.


Да, при конфигурации с 1 доменом будет работать.
Но у нас двухзначное число поддоменов, не содержать же хостов по количеству доменов. А их еще и резервировать нужно..
Есть шанс что когда-нибудь nginx c вашим патчем + gost_capi сможет и такую конфигурацию?

Отредактировано пользователем 2 октября 2015 г. 15:25:31(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#157 Оставлено : 2 октября 2015 г. 15:27:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: expelled Перейти к цитате
Но у нас двухзначное число поддоменов, не содержать же хостов по количеству доменов.

Да, мы подобные конфигурации не тестировали, сейчас посмотрим, что можно улучшить.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
expelled оставлено 02.10.2015(UTC)
Offline Дмитрий Пичулин  
#158 Оставлено : 5 октября 2015 г. 12:53:03(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
В FAQ обновили патч в вопросе: "Как настроить одновременную работу ГОСТ и RSA в nginx?"

Добавлена поддержка server_name. То есть, можно использовать переключение ГОСТ или RSA на более чем одной конфигурации на порту.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
expelled оставлено 05.10.2015(UTC)
Offline expelled  
#159 Оставлено : 5 октября 2015 г. 18:35:57(UTC)
expelled

Статус: Участник

Группы: Участники
Зарегистрирован: 03.04.2015(UTC)
Сообщений: 21
Российская Федерация
Откуда: СПб

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
В FAQ обновили патч в вопросе: "Как настроить одновременную работу ГОСТ и RSA в nginx?"

Добавлена поддержка server_name. То есть, можно использовать переключение ГОСТ или RSA на более чем одной конфигурации на порту.


Проверили работоспособность. Пока смотрели без нагрузки, все работает.

Отредактировано пользователем 6 октября 2015 г. 16:28:16(UTC)  | Причина: Не указана

Offline JoNy202  
#160 Оставлено : 11 ноября 2015 г. 16:01:15(UTC)
JoNy202

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.11.2015(UTC)
Сообщений: 1

Кто нибудь пробовал наладить работу gost_capi и Stunnel 5.26

при загрузке ключа вылетает ошибка:
Цитата:

Loading key from file: client.key
[!] error queue: 140B0009: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
[!] error queue: 907B00D: error:0907B00D:PEM routines:PEM_READ_BIO_PRIVATEKEY:ASN1 lib
[!] error queue: 606F091: error:0606F091:digital envelope routines:EVP_PKCS82PKEY:private key decode error
[!] error queue: 2006D002: error:2006D002:BIO routines:BIO_new_file:system lib
[!] SSL_CTX_use_PrivateKey_file: 2001005: error:02001005:system library:fopen:Input/output error
[!] Service [https]: Failed to initialize SSL context
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
67 Страницы«<1415161718>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.