Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<2223242526>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#231 Оставлено : 14 марта 2017 г. 18:40:26(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: stufford Перейти к цитате
Не хочет без рута..You cannot open privileged ports (<=1024) as non-root

На тривиальные вопросы обычно уже есть ответ. Постарайтесь использовать форум для решения нерешённых задач.

Почему nginx запускается от root, коротко: http://unix.stackexchang...x-starts-process-as-root


Знания в базе знаний, поддержка в техподдержке
Offline stufford  
#232 Оставлено : 14 марта 2017 г. 18:56:56(UTC)
stufford

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.01.2017(UTC)
Сообщений: 30
Российская Федерация
Откуда: moscow

Сказал(а) «Спасибо»: 2 раз
Автор: pd Перейти к цитате
Автор: stufford Перейти к цитате
Не хочет без рута..You cannot open privileged ports (<=1024) as non-root

На тривиальные вопросы обычно уже есть ответ. Постарайтесь использовать форум для решения нерешённых задач.

Почему nginx запускается от root, коротко: http://unix.stackexchang...x-starts-process-as-root



Дмитрий, благодарю за ссылку. Все понял, запустил nginx от www-data
Вопрос в другом - а той ли дорогой я иду?

Мне нужно, что бы php увидел контейнер и сертификат на сервере. Apache то тоже запускает мастер под рутом, чилды от www-data
Может я зря колбашу все порты на nginx и apache? может есть более красивое решение?

Дмитрий, надеюсь на Ваш совет :)
Offline Дмитрий Пичулин  
#233 Оставлено : 14 марта 2017 г. 19:09:27(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: stufford Перейти к цитате
может есть более красивое решение?

Смотрите в сторону nginx прокси, который только принимает TLS-соединения и распределяет потоки дальше.

Этот подход позволяет минимизировать зависимости сервисов от особенностей друг друга.

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#234 Оставлено : 13 апреля 2017 г. 12:05:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
nginx обновил стабильную ветку до версии 1.12.0, что дало возможность организовать одновременную работу на ГОСТ и RSA сертификатах прямо из коробки. Да, теперь патчить nginx не нужно совсем, ура!

Однако, для типичной работы ГОСТ TLS в nginx (сначала ГОСТ потом RSA), следует использовать приоритеты шифросюит (сначала ГОСТ потом всё остальное), например так:

Код:
ssl_ciphers GOST2001-GOST89-GOST89:HIGH;

Как обычно, наша версия nginx с динамической компоновкой и встроенной библиотекой gost_capi доступна на GitHub: https://github.com/deemru/nginx/releases/latest
Знания в базе знаний, поддержка в техподдержке
Offline voe  
#235 Оставлено : 24 апреля 2017 г. 17:32:37(UTC)
voe

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.04.2017(UTC)
Сообщений: 1
Российская Федерация

Подскажите смогу ли я использовать данный модель из ruby через OpenSSL ?
Offline Дмитрий Пичулин  
#236 Оставлено : 24 апреля 2017 г. 17:34:41(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: voe Перейти к цитате
Подскажите смогу ли я использовать данный модель из ruby через OpenSSL ?

Если Ruby умеет использовать OpenSSL ENGINE, то противоречий не наблюдается.

Знания в базе знаний, поддержка в техподдержке
Offline vitalif  
#237 Оставлено : 17 мая 2017 г. 23:18:04(UTC)
vitalif

Статус: Участник

Группы: Участники
Зарегистрирован: 12.05.2017(UTC)
Сообщений: 11
Российская Федерация

Здравствуйте!

Не получается задействовать одновременно ГОСТ и RSA в nginx (linux redhat/centos 7). Не работает ни в 3.9, ни в 4.0.

Точнее, вообще не получается задействовать RSA при включённом в openssl.cnf gost_capi - даже если убрать ГОСТ сертификат и шифр из конфига nginx и оставить 2 стандартные строчки с RSAшным сертификатом+ключом - соединение установить невозможно. Лучшее чего я добиваюсь - это

4146502016:error:140943FC:SSL routines:ssl3_read_bytes:sslv3 alert bad record mac:../ssl/record/rec_layer_s3.c:1385:SSL alert number 20

при попытке сделать openssl s_client -connect localhost:8159 -tls1 -cipher AES256-SHA.

При этом, если просто ОТКЛЮЧИТЬ gost_capi в openssl.cnf, та же конфигурация работает. Такая шляпа что со стандартным RHEL'овским OpenSSL 1.0.1, что с вашим cpopenssl (1.0.2).

Ответьте пожалуйста, что делать?
Offline Дмитрий Пичулин  
#238 Оставлено : 18 мая 2017 г. 10:09:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: vitalif Перейти к цитате
Точнее, вообще не получается задействовать RSA при включённом в openssl.cnf

Покажите конфиг.

Где брали и как устанавливали gost_capi?
Знания в базе знаний, поддержка в техподдержке
Offline vitalif  
#239 Оставлено : 18 мая 2017 г. 10:55:58(UTC)
vitalif

Статус: Участник

Группы: Участники
Зарегистрирован: 12.05.2017(UTC)
Сообщений: 11
Российская Федерация

gost_capi брал из состава дистрибутива криптопро 3.9 и 4.0 для linux amd64 в rpm.

Engine gost_capi в cpopenssl подключен был сразу после установки, также проверял, отдельно подключая его в обычный openssl.

RSA перестает работать даже с простейшей конфигурацией nginx из 2-х строчек ssl_certificate xxx.pem; ssl_certificate_key xxx.key;

При подключенном gost_capi даже перестает работать генерация сертификата в openssl, например самоподписанного

/opt/cprocsp/cp-openssl/bin/amd64/openssl req -days 3650 -x509 -new -nodes -keyout test-rsa2.key -out test-rsa2.pem

Если при этом убрать gost_capi в /var/opt/cprocsp/cp-openssl/openssl.cnf - начинает работать

nginx обычный, не патченый. Из репозитория с офиц сайта nginx. Гост (без rsa) через gost_capi в нем работает нормально.

Я все это гонял на чистых виртуалках, так что воспроизводится просто - по сути, надо скачать образ виртуалки centos 7 amd64 и просто поставить пакеты криптопро 3.9 или 4.0. Дальше, вне зависимости от kc1 или kc2, команда выше (генерация rsa серта) уже работать не будет

Отредактировано пользователем 18 мая 2017 г. 11:01:42(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#240 Оставлено : 18 мая 2017 г. 11:13:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: vitalif Перейти к цитате
gost_capi брал из состава дистрибутива криптопро 3.9 и 4.0 для linux amd64 в rpm. ...

Вы не прислали конфиг openssl.

Похоже, что вы неверно установили gost_capi.

По этой инструкции пробовали развернуть стенд?

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
67 Страницы«<2223242526>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.