Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

33 Страницы«<1011121314>»
Опции
К последнему сообщению К первому непрочитанному
Offline stufford  
#221 Оставлено : 14 марта 2017 г. 17:28:11(UTC)
stufford

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 27
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Здравствуйте!

Установил на сервере тестовый сертификат под root-ом. Добился нормальной работы nginx + openssl engine
И тут я понял, что допустил большую ошибку устанавливая сертификаты для пользователя root, т.к. nginx, apache и php(а я планирую использовать phpcades) работают из под пользователя www-data

В общем удалил сертификат и контейнер для root
сделал новый для пользователя www-data. Прописал его в nginx, но последний отказывается запускаться
Код:
nginx: [emerg] ENGINE_load_private_key("csp.nodomain.me") failed (SSL: error:8006D06E:lib(128):CAPI_OPEN_STORE:error opening store error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)


О себе


Подскажите, пожалуйста, куда копать? Спасибо!
Offline Дмитрий Пичулин  
#222 Оставлено : 14 марта 2017 г. 17:37:01(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: stufford Перейти к цитате
В общем удалил сертификат и контейнер для root
сделал новый для пользователя www-data. Прописал его в nginx, но последний отказывается запускаться
Код:
nginx: [emerg] ENGINE_load_private_key("csp.nodomain.me") failed (SSL: error:8006D06E:lib(128):CAPI_OPEN_STORE:error opening store error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)

В своём первом сообщении вы написали: "Подпись файл проходит успешно", от пользователя www-data тоже проверили?

Не совсем понятно как nginx связан с apache и php, никто не мешает nginx работать от root и быть прокси для них.
Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#223 Оставлено : 14 марта 2017 г. 17:38:50(UTC)
stufford

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 27
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате

В своём первом сообщении вы написали: "Подпись файл проходит успешно", от пользователя www-data тоже проверили?

Нет, проверял только под рутом.

Автор: pd Перейти к цитате

Не совсем понятно как nginx связан с apache и php, никто не мешает nginx работать от root и быть прокси для них.


Это понятно, но решил все делать правильно. В любом случае нужно было забирать сертификаты из под рута, т.к. апач под рутом работать не будет.
Offline stufford  
#224 Оставлено : 14 марта 2017 г. 17:48:01(UTC)
stufford

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 27
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Попробовал подписать файл под пользователем www-data - получилось!
Код:

www-data@csp:/home/certs$ openssl cms -sign -engine gost_capi -keyform ENGINE -inkey csp.nodomain.me -in "TEST.txt" -out "TEST.signed.txt" -outform PEM -CAfile csp.nodomain.me.cer.pem -nodetach -signer csp.nodomain.me.cer.pem
engine "gost_capi" set.
unable to write 'random state'

www-data@csp:/home/certs$ ls -lah
total 24K
drwxr-xr-x 2 www-data www-data 4.0K Mar 14 17:38 .
drwxr-xr-x 5 root     root     4.0K Mar 14 16:40 ..
-rw-r--r-- 1 www-data www-data 1.9K Mar 14 17:38 TEST.signed.txt
-rw-r--r-- 1 www-data www-data    7 Mar 14 17:37 TEST.txt
-rw-r--r-- 1 www-data www-data  780 Mar 14 16:41 csp.nodomain.me.cer
-rw-r--r-- 1 www-data www-data 1.1K Mar 14 16:41 csp.nodomain.me.cer.pem

www-data@csp:/home/certs$ cat TEST.signed.txt
-----BEGIN CMS-----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-----END CMS-----
www-data@csp:/home/certs$
Offline Дмитрий Пичулин  
#225 Оставлено : 14 марта 2017 г. 17:50:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: stufford Перейти к цитате
Попробовал подписать файл под пользователем www-data - получилось!

Этот пункт FAQ выполняется?

"Пользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (см. user)"

Отредактировано пользователем 14 марта 2017 г. 17:51:12(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#226 Оставлено : 14 марта 2017 г. 17:54:02(UTC)
stufford

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 27
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате
Этот пункт FAQ выполняется?
"Пользователь рабочих потоков nginx не должен отличаться от пользователя запускающего nginx (см. user)"


Сейчас уже не вижу, т.к. nginx не стартует )

но до этого master запускался под root
worker - под www-data

в конфиге nginx
Код:

user www-data;

Отредактировано пользователем 14 марта 2017 г. 17:55:02(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#227 Оставлено : 14 марта 2017 г. 17:58:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: stufford Перейти к цитате
но до этого master запускался под root
worker - под www-data

FAQ по настройке существует не просто так.

В вашем случае пользователь root не имеет доступа к закрытым ключам www-data, именно поэтому пользователи должны совпадать.

Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#228 Оставлено : 14 марта 2017 г. 18:25:09(UTC)
stufford

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 27
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате

В вашем случае пользователь root не имеет доступа к закрытым ключам www-data, именно поэтому пользователи должны совпадать.


Так.. :) Ткните носом, пожалуйста, как запустить мастер nginx от www-data?
Offline Дмитрий Пичулин  
#229 Оставлено : 14 марта 2017 г. 18:32:49(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: stufford Перейти к цитате
Автор: pd Перейти к цитате

В вашем случае пользователь root не имеет доступа к закрытым ключам www-data, именно поэтому пользователи должны совпадать.


Так.. :) Ткните носом, пожалуйста, как запустить мастер nginx от www-data?

Запустите nginx не как сервис, а просто как приложение от пользователя www-data.
Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#230 Оставлено : 14 марта 2017 г. 18:36:11(UTC)
stufford

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 27
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате
Запустите nginx не как сервис, а просто как приложение от пользователя www-data.


Не хочет без рута..You cannot open privileged ports (<=1024) as non-root

Код:
www-data@csp:/home/certs$ /usr/sbin/nginx -c /etc/nginx/nginx.conf
nginx: [warn] the "user" directive makes sense only if the master process runs with super-user privileges, ignored in /etc/nginx/nginx.conf:2
nginx: [emerg] bind() to 0.0.0.0:80 failed (13: Permission denied)

Отредактировано пользователем 14 марта 2017 г. 18:40:57(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#231 Оставлено : 14 марта 2017 г. 18:40:26(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: stufford Перейти к цитате
Не хочет без рута..You cannot open privileged ports (<=1024) as non-root

На тривиальные вопросы обычно уже есть ответ. Постарайтесь использовать форум для решения нерешённых задач.

Почему nginx запускается от root, коротко: http://unix.stackexchang...x-starts-process-as-root


Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#232 Оставлено : 14 марта 2017 г. 18:56:56(UTC)
stufford

Статус: Участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 27
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате
Автор: stufford Перейти к цитате
Не хочет без рута..You cannot open privileged ports (<=1024) as non-root

На тривиальные вопросы обычно уже есть ответ. Постарайтесь использовать форум для решения нерешённых задач.

Почему nginx запускается от root, коротко: http://unix.stackexchang...x-starts-process-as-root



Дмитрий, благодарю за ссылку. Все понял, запустил nginx от www-data
Вопрос в другом - а той ли дорогой я иду?

Мне нужно, что бы php увидел контейнер и сертификат на сервере. Apache то тоже запускает мастер под рутом, чилды от www-data
Может я зря колбашу все порты на nginx и apache? может есть более красивое решение?

Дмитрий, надеюсь на Ваш совет :)
Offline Дмитрий Пичулин  
#233 Оставлено : 14 марта 2017 г. 19:09:27(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: stufford Перейти к цитате
может есть более красивое решение?

Смотрите в сторону nginx прокси, который только принимает TLS-соединения и распределяет потоки дальше.

Этот подход позволяет минимизировать зависимости сервисов от особенностей друг друга.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#234 Оставлено : 13 апреля 2017 г. 12:05:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
nginx обновил стабильную ветку до версии 1.12.0, что дало возможность организовать одновременную работу на ГОСТ и RSA сертификатах прямо из коробки. Да, теперь патчить nginx не нужно совсем, ура!

Однако, для типичной работы ГОСТ TLS в nginx (сначала ГОСТ потом RSA), следует использовать приоритеты шифросюит (сначала ГОСТ потом всё остальное), например так:

Код:
ssl_ciphers GOST2001-GOST89-GOST89:HIGH;

Как обычно, наша версия nginx с динамической компоновкой и встроенной библиотекой gost_capi доступна на GitHub: https://github.com/deemru/nginx/releases/latest
Знания в базе знаний, поддержка в техподдержке
Offline voe  
#235 Оставлено : 24 апреля 2017 г. 17:32:37(UTC)
voe

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.04.2017(UTC)
Сообщений: 1
Российская Федерация

Подскажите смогу ли я использовать данный модель из ruby через OpenSSL ?
Offline Дмитрий Пичулин  
#236 Оставлено : 24 апреля 2017 г. 17:34:41(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: voe Перейти к цитате
Подскажите смогу ли я использовать данный модель из ruby через OpenSSL ?

Если Ruby умеет использовать OpenSSL ENGINE, то противоречий не наблюдается.

Знания в базе знаний, поддержка в техподдержке
Offline vitalif  
#237 Оставлено : 17 мая 2017 г. 23:18:04(UTC)
vitalif

Статус: Участник

Группы: Участники
Зарегистрирован: 12.05.2017(UTC)
Сообщений: 11
Российская Федерация

Здравствуйте!

Не получается задействовать одновременно ГОСТ и RSA в nginx (linux redhat/centos 7). Не работает ни в 3.9, ни в 4.0.

Точнее, вообще не получается задействовать RSA при включённом в openssl.cnf gost_capi - даже если убрать ГОСТ сертификат и шифр из конфига nginx и оставить 2 стандартные строчки с RSAшным сертификатом+ключом - соединение установить невозможно. Лучшее чего я добиваюсь - это

4146502016:error:140943FC:SSL routines:ssl3_read_bytes:sslv3 alert bad record mac:../ssl/record/rec_layer_s3.c:1385:SSL alert number 20

при попытке сделать openssl s_client -connect localhost:8159 -tls1 -cipher AES256-SHA.

При этом, если просто ОТКЛЮЧИТЬ gost_capi в openssl.cnf, та же конфигурация работает. Такая шляпа что со стандартным RHEL'овским OpenSSL 1.0.1, что с вашим cpopenssl (1.0.2).

Ответьте пожалуйста, что делать?
Offline Дмитрий Пичулин  
#238 Оставлено : 18 мая 2017 г. 10:09:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: vitalif Перейти к цитате
Точнее, вообще не получается задействовать RSA при включённом в openssl.cnf

Покажите конфиг.

Где брали и как устанавливали gost_capi?
Знания в базе знаний, поддержка в техподдержке
Offline vitalif  
#239 Оставлено : 18 мая 2017 г. 10:55:58(UTC)
vitalif

Статус: Участник

Группы: Участники
Зарегистрирован: 12.05.2017(UTC)
Сообщений: 11
Российская Федерация

gost_capi брал из состава дистрибутива криптопро 3.9 и 4.0 для linux amd64 в rpm.

Engine gost_capi в cpopenssl подключен был сразу после установки, также проверял, отдельно подключая его в обычный openssl.

RSA перестает работать даже с простейшей конфигурацией nginx из 2-х строчек ssl_certificate xxx.pem; ssl_certificate_key xxx.key;

При подключенном gost_capi даже перестает работать генерация сертификата в openssl, например самоподписанного

/opt/cprocsp/cp-openssl/bin/amd64/openssl req -days 3650 -x509 -new -nodes -keyout test-rsa2.key -out test-rsa2.pem

Если при этом убрать gost_capi в /var/opt/cprocsp/cp-openssl/openssl.cnf - начинает работать

nginx обычный, не патченый. Из репозитория с офиц сайта nginx. Гост (без rsa) через gost_capi в нем работает нормально.

Я все это гонял на чистых виртуалках, так что воспроизводится просто - по сути, надо скачать образ виртуалки centos 7 amd64 и просто поставить пакеты криптопро 3.9 или 4.0. Дальше, вне зависимости от kc1 или kc2, команда выше (генерация rsa серта) уже работать не будет

Отредактировано пользователем 18 мая 2017 г. 11:01:42(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#240 Оставлено : 18 мая 2017 г. 11:13:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,184
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: vitalif Перейти к цитате
gost_capi брал из состава дистрибутива криптопро 3.9 и 4.0 для linux amd64 в rpm. ...

Вы не прислали конфиг openssl.

Похоже, что вы неверно установили gost_capi.

По этой инструкции пробовали развернуть стенд?

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
33 Страницы«<1011121314>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.