Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
11 Страницы«<7891011>
Настройка работы nginx с КриптоПро CSP 4.0 на ОС семейства Linux на примере Ubuntu 14.04 64bit
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline xtn46418  
#81 Оставлено : 29 сентября 2017 г. 17:34:17(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
похоже openssl криво или не полностью установился..
ldd c каким путем вводить?

"yum install openssl
Загружены модули: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirror.logol.ru
* extras: mirror.logol.ru
* updates: mirror.logol.ru
Пакет 1:openssl-1.0.2k-8.el7.x86_64 уже установлен, и это последняя версия.
Выполнять нечего"

Отредактировано пользователем 29 сентября 2017 г. 17:36:53(UTC)  | Причина: Не указана
Вверх
Offline Дмитрий Пичулин  
#82 Оставлено : 29 сентября 2017 г. 17:38:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
Автор: xtn46418 Перейти к цитате
ldd c каким путем вводить?

С путём приложения openssl

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline xtn46418  
#83 Оставлено : 29 сентября 2017 г. 18:00:39(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
UserPostedImage

Отредактировано пользователем 29 сентября 2017 г. 18:09:13(UTC)  | Причина: Не указана
Вверх
Offline Дмитрий Пичулин  
#84 Оставлено : 29 сентября 2017 г. 18:08:08(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
Автор: xtn46418 Перейти к цитате
UserPostedImage

Как видите, именование библиотеки у вас в системе специфическое "libcrypto.so.10", а gost_capi ищет "libcrypto.so.1.0.0".

Сделайте симлинк -- должно помочь.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
thanks 1 пользователь поблагодарил pd за этот пост.
xtn46418 оставлено 02.10.2017(UTC)
Offline xtn46418  
#85 Оставлено : 2 октября 2017 г. 11:41:01(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
Добрый день! Помогло переименование библиотеки..
вроде все настроила, но вот удивительное дело - на компах коллег все корректно отрабатывает, с моего же компьютера -нет. Судя по дампу, клиент не предлагает использовать алгоритм Гост и рукопожатие срывается (
в чем может быть причина? может есть какие-либо обязательные настройки клиента? (сертификат сервера и тестового УЦ КриптоПро установлены в доверенные корневые центры сертификации, в hosts прописан резолв домена)
в качестве клиента использую IE11 и КриптоПроФокс
CSP 4.0.9842, лицензия тестовая действующая
пробовала переустановить CSP и сбросить найстроки IE - результат тот же
http://rgho.st/82RQzNrvZ
Вверх
Offline xtn46418  
#86 Оставлено : 2 октября 2017 г. 14:47:39(UTC)
xtn46418

Статус: Участник

Группы: Участники
Зарегистрирован: 29.09.2017(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: xtn46418 Перейти к цитате
UserPostedImage

Как видите, именование библиотеки у вас в системе специфическое "libcrypto.so.10", а gost_capi ищет "libcrypto.so.1.0.0".

Сделайте симлинк -- должно помочь.

Еще вопрос - возможно же настроить двухстороннюю аутентификацию ?
Дописываю в конфиг nginx директивы:
ssl_client_certificate /opt/nginx/conf/CertClient.cer;
ssl_verify_client on;
Вверх
Offline Albert.Lutskovich  
#87 Оставлено : 2 ноября 2017 г. 17:58:27(UTC)
Albert.Lutskovich

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 1
Российская Федерация
Откуда: Уфа
Добрый день!

Развернул nginx-сервер для работы с TLS в связке с КриптоПро. Всё настроено согласно инструкции в данной теме.
В результате при обращении к nginx-серверу по протоколу TLS с отечественными криптоалгоритмами всё прекрасно работает у клиентов с ОС Win7 и Win8 (КриптоПро 4.0.9842), но не проходит handshake в связке win10+IE11 и win10+Edge (криптопровайдер тот же). В IE11 выдается следующее сообщение:
Цитата:

Включите TLS 1.0, TLS 1.1 и TLS 1.2 в дополнительных параметрах и повторите попытку подключения к https://ХХХХХ.ХХ . Если ошибка повторяется, возможно, этот сайт использует неподдерживаемый протокол или комплект шифров, например RC4 (ссылка на статью со сведениями), который не считается безопасным. Обратитесь к администратору сайта.

При этом в error.log nginx появляется следующая строка об ошибке:
Цитата:
2017/11/02 19:41:46 [crit] 1880#0: *61 SSL_do_handshake() failed (SSL: error:1408B093:SSL routines:ssl3_get_client_key_exchange:decryption failed) while SSL handshaking, client: XXX.XXX.XX.XX, server: 0.0.0.0:443


Связка Win10+CryptoPro Fox - работает.
Помогите пожалуйста с советом куда копать чтобы IE и Edge в Win10 полноценно могли работать с web-сервером на базе TLS ГОСТ.

ОС: CentOS Linux release 7.4.1708 (Core)
NGINX: 1.10.2
OpenSSL 1.0.2k-fips 26 Jan 2017
КриптоПро 4.0.9929 x86_64
Вверх
Offline Дмитрий Пичулин  
#88 Оставлено : 2 ноября 2017 г. 18:53:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
Автор: Albert.Lutskovich Перейти к цитате
но не проходит handshake в связке win10+IE11 и win10+Edge

В просмотре событий Windows есть ошибки? И какая у вас точно Windows 10?

Можете прислать дамп трафика для анализа?

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline chemtech  
#89 Оставлено : 2 ноября 2017 г. 20:21:30(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Подскажите, пожалуйста, как вы справились с этой ошибкой
Код:
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)
nginx -v
nginx version: nginx/1.12.2
openssl 1.0.2k-8.el7
CentOS Linux release 7.4.1708 (Core)

Заранее спасибо.

Отредактировано пользователем 3 ноября 2017 г. 6:08:17(UTC)  | Причина: Не указана
Вверх
Offline Дмитрий Пичулин  
#90 Оставлено : 3 ноября 2017 г. 12:31:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
Автор: chemtech Перейти к цитате
Подскажите, пожалуйста, как вы справились с этой ошибкой
Код:
nginx: [emerg] PEM_read_bio_X509_AUX("/etc/nginx/srvtest.cer") failed (SSL: error:0906D06C:PEM routines:PEM_read_bio:no start line:Expecting: TRUSTED CERTIFICATE)

Похоже на ошибку DER vs. PEM, возможно вы пропустили этот шаг: https://github.com/fulli...ost/install-certs.sh#L13
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
11 Страницы«<7891011>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET