Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<1516171819>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#161 Оставлено : 11 ноября 2015 г. 16:05:48(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: JoNy202 Перейти к цитате
[!] error queue: 140B0009: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib

gost_capi не поддерживает загрузку ключа из файла.

Загрузить закрытый ключ можно только через ENGINE_load_private_key().

Знания в базе знаний, поддержка в техподдержке
Offline Alex19801  
#162 Оставлено : 1 мая 2016 г. 21:00:50(UTC)
Alex19801

Статус: Участник

Группы: Участники
Зарегистрирован: 31.03.2016(UTC)
Сообщений: 12
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате
Автор: 4ertu Перейти к цитате
Рукопожатие отваливается на стороне сервера при использовании протокола TLSv1 на сервере и клиенте.


У нас поддерживается только TLSv1.

А что у вас в логах Просмотр событий -> Журналы Windows -> Приложение / Система? Нет ли там ошибок от cpsspap или Schannel?


Нашел это чисто случайно, настроил Nginx по данной статье, но там нет ничего про строку

Код:

[root@localhost ~]# vim /home/bitrix/nginx/conf/nginx.conf
ssl_protocols           TLSv1 TLSv1.1 TLSv1.2;

В итоге https://www.cryptopro.ru/products/cpfox не хотел работать с nginx/1.9.15.

Код:
[root@localhost ~]# /home/bitrix/nginx/sbin/nginx -V
nginx version: nginx/1.9.15
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-16) (GCC)
built with OpenSSL 1.0.2a-fips 19 Mar 2015
TLS SNI support enabled
configure arguments: --prefix=/home/bitrix/nginx --with-http_ssl_module --with-http_gzip_static_module --add-module=nginx-push-stream-module

Убрал в настройке лишние, получилось

Код:

[root@localhost ~]# vim /home/bitrix/nginx/conf/nginx.conf
ssl_protocols           TLSv1;



С КриптоПро Fox v38 и v31 под винду теперь работает.
И надо отрубать проверку HTTPS антифирусом аваст, иначе тоже не работает.

В общем спасибо, а то уже с ума сходит начал потихоньку Dancing
Offline valery.kazantsev  
#163 Оставлено : 17 мая 2016 г. 19:28:14(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
В FAQ обновили патч в вопросе: "Как настроить одновременную работу ГОСТ и RSA в nginx?"

Добавлена поддержка server_name. То есть, можно использовать переключение ГОСТ или RSA на более чем одной конфигурации на порту.


Здравствуйте! У меня аналогичная проблема с кучей доменов.
Сконфигурил nginx.conf следующим образом:
server {
listen 443 ssl;
server_name example.com;
...........
}

server {
listen 443 ssl;
server_name a.example.com;
...........
}

server {
listen 127.0.0.1:443 ssl;
server_name example.com;
...........
}

server {
listen 127.0.0.1:443 ssl;
server_name a.example.com;
...........
}

Имею картину: a.example.com по ГОСТУ не работет, т.е. второй server в конфиге.
Идёт ошибка:
2016/05/17 20:02:17 [alert] 5804#5804: *16 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.77.58.133, server: 0.0.0.0:443

Отредактировано пользователем 17 мая 2016 г. 19:29:23(UTC)  | Причина: Не указана

Offline ElenaS  
#164 Оставлено : 17 мая 2016 г. 19:49:48(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: valery.kazantsev Перейти к цитате


Здравствуйте! У меня аналогичная проблема с кучей доменов.
Сконфигурил nginx.conf следующим образом:
server {
listen 443 ssl;
server_name example.com;
...........
}

server {
listen 443 ssl;
server_name a.example.com;
...........
}

server {
listen 127.0.0.1:443 ssl;
server_name example.com;
...........
}

server {
listen 127.0.0.1:443 ssl;
server_name a.example.com;
...........
}

Имею картину: a.example.com по ГОСТУ не работет, т.е. второй server в конфиге.
Идёт ошибка:
2016/05/17 20:02:17 [alert] 5804#5804: *16 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.77.58.133, server: 0.0.0.0:443


Какая версия оpenssl? А также ОС, nginx, CSP. Попробуем воспроизвести.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline valery.kazantsev  
#165 Оставлено : 17 мая 2016 г. 22:28:49(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Автор: ElenaS Перейти к цитате
Автор: valery.kazantsev Перейти к цитате


Здравствуйте! У меня аналогичная проблема с кучей доменов.
Сконфигурил nginx.conf следующим образом:
server {
listen 443 ssl;
server_name example.com;
...........
}

server {
listen 443 ssl;
server_name a.example.com;
...........
}

server {
listen 127.0.0.1:443 ssl;
server_name example.com;
...........
}

server {
listen 127.0.0.1:443 ssl;
server_name a.example.com;
...........
}

Имею картину: a.example.com по ГОСТУ не работет, т.е. второй server в конфиге.
Идёт ошибка:
2016/05/17 20:02:17 [alert] 5804#5804: *16 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.77.58.133, server: 0.0.0.0:443


Какая версия оpenssl? А также ОС, nginx, CSP. Попробуем воспроизвести.


Код:
# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 6.5 (Santiago)
# rpm -qa | grep "nginx\|csp\|openssl"
lsb-cprocsp-kc2-64-4.0.0-4.x86_64
openssl-1.0.1e-15.el6.x86_64
lsb-cprocsp-base-4.0.0-4.noarch
lsb-cprocsp-capilite-64-4.0.0-4.x86_64
cprocsp-curl-64-4.0.0-4.x86_64
nginx-1.10.0-1.el6.rtl.x86_64
lsb-cprocsp-rdr-64-4.0.0-4.x86_64
cprocsp-cpopenssl-gost-64-4.0.0-4.x86_64


В nginx кроме switch патча ничего не добавлял, последний стабильный.
nginx-1.10.0-1.el6.rtl.x86_64.zip (1,010kb) загружен 2 раз(а).
Offline valery.kazantsev  
#166 Оставлено : 18 мая 2016 г. 12:08:26(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
Далее можно запускать nginx с конфигом /etc/nginx/conf.d/ssl.conf следующего содержания:
Код:
### GOST
server {
    listen       443 ssl;
    server_name  example.ru;
    access_log  /var/log/nginx/gost_access.log  main;

    ssl_certificate      /etc/nginx/example.ru.cer;
    ssl_certificate_key  engine:gost_capi:example.ru;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_protocols       TLSv1;
    ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
    ssl_prefer_server_ciphers on;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

server {
    listen       443 ssl;
    server_name  a.example.ru;
    access_log  /var/log/nginx/gost_a_access.log  main;

    ssl_certificate      /etc/nginx/example.ru.cer;
    ssl_certificate_key  engine:gost_capi:example.ru;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_protocols       TLSv1;
    ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
    ssl_prefer_server_ciphers on;

    location / {
        root   /usr/share/nginx/html2;
        index  index.html index.htm;
    }
}

### RSA
server {
    listen       127.0.0.1:443 ssl;
    server_name  example.ru;
    access_log  /var/log/nginx/rsa_access.log  main;

    ssl_certificate      /etc/nginx/RBC_HC_Wildcard_Certificate.crt;
    ssl_certificate_key  /etc/nginx/server-rsa.key;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers   AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA;
    ssl_prefer_server_ciphers on;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
}

server {
    listen       127.0.0.1:443 ssl;
    server_name  a.example.ru;
    access_log  /var/log/nginx/rsa_a_access.log  main;

    ssl_certificate      /etc/nginx/RBC_HC_Wildcard_Certificate.crt;
    ssl_certificate_key  /etc/nginx/server-rsa.key;

    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout  5m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers   AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA;
    ssl_prefer_server_ciphers on;

    location / {
        root   /usr/share/nginx/html2;
        index  index.html index.htm;
    }
}


И a.example.ru не работает по ГОСТу, собственно из дампа видно, что сервер отказывается:
Код:
# ssldump -i eth0
New TCP connection #1: 10.77.58.133(49384) <-> 10.77.59.34(443)
1 1  0.0016 (0.0016)  C>S  Handshake
      ClientHello
        Version 3.3
        cipher suites
        Unknown value 0x81
        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
        TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
        TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
        TLS_RSA_WITH_AES_256_GCM_SHA384
        TLS_RSA_WITH_AES_128_GCM_SHA256
        TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
        TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
        TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
        TLS_RSA_WITH_AES_256_CBC_SHA256
        TLS_RSA_WITH_AES_128_CBC_SHA256
        TLS_RSA_WITH_AES_256_CBC_SHA
        TLS_RSA_WITH_AES_128_CBC_SHA
        TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
        TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
        TLS_DHE_DSS_WITH_AES_256_CBC_SHA
        TLS_DHE_DSS_WITH_AES_128_CBC_SHA
        TLS_RSA_WITH_3DES_EDE_CBC_SHA
        TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
        TLS_RSA_WITH_RC4_128_SHA
        TLS_RSA_WITH_RC4_128_MD5
        compression methods
                  NULL
1 2  0.0020 (0.0003)  S>C  Handshake
      ServerHello
        Version 3.1
        session_id[32]=
          d8 4f ee 84 b7 65 fd e5 27 56 ca fe ca d2 8b d0
          75 77 ca c3 f4 da a9 df ec f3 e3 7b db 0e 84 f1
        cipherSuite         Unknown value 0x81
        compressionMethod                   NULL
1 3  0.0021 (0.0001)  S>C  Handshake
      Certificate
1 4  0.0021 (0.0000)  S>C  Handshake
      ServerHelloDone
1    0.0024 (0.0002)  S>C  TCP FIN
1 5  0.0076 (0.0051)  C>S  Handshake
      ClientKeyExchange
1 6  0.0076 (0.0000)  C>S  ChangeCipherSpec
1 7  0.0076 (0.0000)  C>S  Handshake
1    0.0076 (0.0000)  C>S  TCP FIN
New TCP connection #2: 10.77.58.133(49385) <-> 10.77.59.34(443)
2 1  0.0004 (0.0004)  C>S  Handshake
      ClientHello
        Version 3.1
        cipher suites
        Unknown value 0x81
        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
        TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
        TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
        TLS_RSA_WITH_AES_256_CBC_SHA
        TLS_RSA_WITH_AES_128_CBC_SHA
        TLS_DHE_DSS_WITH_AES_256_CBC_SHA
        TLS_DHE_DSS_WITH_AES_128_CBC_SHA
        TLS_RSA_WITH_3DES_EDE_CBC_SHA
        TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
        TLS_RSA_WITH_RC4_128_SHA
        TLS_RSA_WITH_RC4_128_MD5
        compression methods
                  NULL
2 2  0.0008 (0.0004)  S>C  Handshake
      ServerHello
        Version 3.1
        session_id[32]=
          52 ec 15 ac 53 32 c1 d9 6b 4c ac 6a c4 1c e5 19
          58 e2 f6 4a 1a bd 00 51 bf 56 75 24 68 1e 07 b9
        cipherSuite         Unknown value 0x81
        compressionMethod                   NULL
2 3  0.0009 (0.0000)  S>C  Handshake
      Certificate
2 4  0.0009 (0.0000)  S>C  Handshake
      ServerHelloDone
2    0.0012 (0.0003)  S>C  TCP FIN
2 5  0.0063 (0.0050)  C>S  Handshake
      ClientKeyExchange
2 6  0.0063 (0.0000)  C>S  ChangeCipherSpec
2 7  0.0063 (0.0000)  C>S  Handshake
2    0.0063 (0.0000)  C>S  TCP FIN
New TCP connection #3: 10.77.58.133(49386) <-> 10.77.59.34(443)
3 1  0.0018 (0.0018)  C>S  Handshake
      ClientHello
        Version 3.0
        cipher suites
        SSL_RSA_WITH_3DES_EDE_CBC_SHA
        SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
        SSL_RSA_WITH_RC4_128_SHA
        SSL_RSA_WITH_RC4_128_MD5
        SSL_EMPTY_RENEGOTIATION_INFO_SCSV
        compression methods
                  NULL
3 2  0.0024 (0.0006)  S>C  Alert
    level           fatal
    value           handshake_failure
3    0.0025 (0.0001)  S>C  TCP FIN
3    0.0030 (0.0004)  C>S  TCP FIN
New TCP connection #4: 10.77.58.133(49387) <-> 10.77.59.34(443)
4    0.0002 (0.0002)  C>S  TCP FIN
4    0.0004 (0.0001)  S>C  TCP FIN
Offline Дмитрий Пичулин  
#167 Оставлено : 18 мая 2016 г. 12:18:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: valery.kazantsev Перейти к цитате
И a.example.ru не работает по ГОСТу, собственно из дампа видно, что сервер отказывается

Сейчас проверяем наш патч одновременной работы ГОСТ и RSA на nginx 1.10.0.

Основной функционал проверили, а этот, опциональный, руки не дошли.

Знания в базе знаний, поддержка в техподдержке
Offline valery.kazantsev  
#168 Оставлено : 18 мая 2016 г. 12:35:44(UTC)
valery.kazantsev

Статус: Участник

Группы: Участники
Зарегистрирован: 15.04.2015(UTC)
Сообщений: 23
Российская Федерация
Откуда: Moscow

Сказал(а) «Спасибо»: 1 раз
На самом деле выйти из ситуации можно при помощи манипуляций с TCP proxy.
При условии что у нас на интерфейсе прикручено несколько IP для нескольких доменов, доступных по HTTPS, в данном примере IP 10.0.0.5 и 10.0.0.6.

В /etc/nginx/nginx.conf добавляем:
Код:

stream {
    server {
        listen  10.0.0.5:443;
        proxy_pass 10.0.0.5:4431;
    }

    server {
        listen  10.0.0.6:443;
        proxy_pass 10.0.0.6:4432;
    }
}


Затем меняем содержимое /etc/nginx/conf.d/ssl.conf:
Код:
### GOST
server {
    listen       4431 ssl;
    server_name  example.ru;
    access_log  /var/log/nginx/gost_access.log  main;

    ssl_certificate      /etc/nginx/example.ru.cer;
    ssl_certificate_key  engine:gost_capi:example.ru;

    ...
}

server {
    listen       4432 ssl;
    server_name  a.example.ru;
    access_log  /var/log/nginx/gost_a_access.log  main;

    ssl_certificate      /etc/nginx/example.ru.cer;
    ssl_certificate_key  engine:gost_capi:example.ru;

    ...
}

### RSA
server {
    listen       127.0.0.1:4431 ssl;
    server_name  example.ru;
    access_log  /var/log/nginx/rsa_access.log  main;

    ssl_certificate      /etc/nginx/RBC_HC_Wildcard_Certificate.crt;
    ssl_certificate_key  /etc/nginx/server-rsa.key;

    ...
}

server {
    listen       127.0.0.1:4432 ssl;
    server_name  a.example.ru;
    access_log  /var/log/nginx/rsa_a_access.log  main;

    ssl_certificate      /etc/nginx/RBC_HC_Wildcard_Certificate.crt;
    ssl_certificate_key  /etc/nginx/server-rsa.key;

    ...
}


И получаем желаемый результат с разделением по servers.

Отредактировано пользователем 18 мая 2016 г. 12:37:45(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#169 Оставлено : 18 мая 2016 г. 13:32:16(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Проверили работу нашего патча одновременной работы ГОСТ и RSA (GOST_SWitchPatch) на nginx 1.10.0, ничего не изменилось, работает согласно документации.

Наиболее вероятно, что вы не поставили данный патч на nginx.

Автор: valery.kazantsev Перейти к цитате

Идёт ошибка:
2016/05/17 20:02:17 [alert] 5804#5804: *16 ignoring stale global SSL error (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 10.77.58.133, server: 0.0.0.0:443

Напоминаем, что данная запись в логе не является ошибкой, а лишь свидетельствует об использовании старой версии openssl, подробнее здесь: https://www.cryptopro.ru...ts&m=56295#post56295

Update:
Кому лень патчить, сделали форк nginx с нашим патчем: https://github.com/deemru/nginx/

Отредактировано пользователем 27 мая 2016 г. 13:09:46(UTC)  | Причина: fork

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#170 Оставлено : 26 мая 2016 г. 12:30:14(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Мы решили выпустить готовую сборку для Windows аналогичную официальной nginx/Windows-1.10.0, включающую важные нам возможности.

Скачать nginx-gost можно тут: https://github.com/deemru/nginx/releases/latest
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
67 Страницы«<1516171819>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.