Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

39 Страницы«<678910>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#71 Оставлено : 9 мая 2018 г. 9:50:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Pechenko Vladimir Перейти к цитате
Nginx стартует без ошибок, но по ГОСТу не работает:
Код:
# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl s_client -cipher 'GOST2001-GOST89-GOST89' -connect localhost:443
CONNECTED(00000004)
140244304541440:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl/record/rec_layer_s3.c:1407:SSL alert number 40
....


В лог(/var/log/nginx/error.log) при этом ничего не пишет.

Если попытаться из браузера(IE), в логе появляется ошибка:
Код:
2018/05/09 00:44:03 [crit] 28730#28730: *7 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) while SSL handshaking, client: 172.28.1.2, server: 0.0.0.0:443

Обычно спасает "ssl_protocols TLSv1;", старую сюиту не очень тестируем, перепроверим.
Знания в базе знаний, поддержка в техподдержке
Offline geniymax  
#72 Оставлено : 10 мая 2018 г. 4:47:02(UTC)
geniymax

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.03.2018(UTC)
Сообщений: 4
Откуда: Новосибирск

Автор: pd Перейти к цитате
Автор: geniymax Перейти к цитате
Связался с коллегами СКБ-контур, получил от них ответ, что запрос они видят, но сертификат не передается.

Как понять "сертификат не передается"?



Мы не передаем сертификат авторизации при входе\вызове метода

Как выглядит неверный запрос на стороне сервиса:
Line 2236: 2018-05-07 12:03:46.817 /CC/CertificateInfo/FindForms Phone=9996667733&Inn=012558018349 500 "CABINETTEST" - -2147023901 0 194 - -

А так выглядит корректный запрос:
Line 294: 2018-05-07 11:54:08.833 /CC/CertificateInfo/FindForms Phone=9996667733&Inn=012558018349 200 "CABINETTEST" - 0 512 696 "38-46-81-88-00-00-00-01-ca-80" "E=catest@skbkontur.ru, C=RU, L=Екатеринбург, O=ЗАО «ПФ «СКБ Контур», CN=UC Test"

В связи с этим встает вопрос, может ли вообще nginx в такой конфигурации использоваться?
Подскажите, пожалуйста.
Offline Дмитрий Пичулин  
#73 Оставлено : 10 мая 2018 г. 10:13:56(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: geniymax Перейти к цитате
Автор: pd Перейти к цитате
Автор: geniymax Перейти к цитате
Связался с коллегами СКБ-контур, получил от них ответ, что запрос они видят, но сертификат не передается.

Как понять "сертификат не передается"?



Мы не передаем сертификат авторизации при входе\вызове метода

Как выглядит неверный запрос на стороне сервиса:
Line 2236: 2018-05-07 12:03:46.817 /CC/CertificateInfo/FindForms Phone=9996667733&Inn=012558018349 500 "CABINETTEST" - -2147023901 0 194 - -

А так выглядит корректный запрос:
Line 294: 2018-05-07 11:54:08.833 /CC/CertificateInfo/FindForms Phone=9996667733&Inn=012558018349 200 "CABINETTEST" - 0 512 696 "38-46-81-88-00-00-00-01-ca-80" "E=catest@skbkontur.ru, C=RU, L=Екатеринбург, O=ЗАО «ПФ «СКБ Контур», CN=UC Test"

В связи с этим встает вопрос, может ли вообще nginx в такой конфигурации использоваться?
Подскажите, пожалуйста.

Вы же понимаете, что при работе nginx в качестве прокси, согласно вашей конфигурации, nginx устанавливает двустороннее TLS-соединение, по которому ко всем запросам проксируемым запросам от клиента приклеивает заголовок X-Forwarded-For и отправляет по TLS на удалённый сервер.

Откуда в запросе берётся заголовок с сертификатом?

Обычно его приклеивает серверная сторона и отправляет к своим backend-ам.

Если же, по каким-то причинам, клиент должен сам, в обход состояния TLS-соединения (чего мы никогда не встречали в рабочих системах), приклеивать сертификат в заголовок запроса, вы можете это сделать установив соответствующий proxy_set_header.

Знания в базе знаний, поддержка в техподдержке
Offline dmstay  
#74 Оставлено : 10 мая 2018 г. 13:03:10(UTC)
dmstay

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.05.2018(UTC)
Сообщений: 4

Коллеги, приветствую.

Не получается корректно и с нуля настроить работу с ГОСТ с использованием gostengy. Действую согласно инструкции.

Текущяя ошибка:

nginx: [emerg] ENGINE_load_private_key("srvtest") failed (SSL: error:8001401F:lib(128):gng_store_open:CertOpenStore error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)

Все выполняется под пользователем root.

О системе:



update: понял, что косяк был в конфиге nginx, в строчке ssl_certificate_key engine:gostengy:lemp.sec.local; Поправил. Далее столкнулся с проблемой, что скрипт не создал в системе пользователя nginx. Создал, тест файла прошел. ГОСТ по прежнему не работает, впрочем, как и RSA. Кажется пока косяк в самом nginx, разбираюсь. Буду признателен за мысли в какую сторону копать.

update2: Все починил самостоятельно. Спасибо :)

Отредактировано пользователем 10 мая 2018 г. 15:08:04(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#75 Оставлено : 10 мая 2018 г. 15:07:59(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: dmstay Перейти к цитате
update: понял, что косяк был в конфиге nginx, в строчке ssl_certificate_key engine:gostengy:lemp.sec.local; Поправил. Далее столкнулся с проблемой, что скрипт не создал в системе пользователя nginx. Создал, тест файла прошел. ГОСТ по прежнему не работает, впрочем, как и RSA. Кажется пока косяк в самом nginx, разбираюсь. Буду признателен за мысли в какую сторону копать.


Лучший вариант -- взять чистую систему и: https://www.cryptopro.ru...ts&m=90930#post90930

Автор: Pechenko Vladimir Перейти к цитате
После установки базовой системы, скриптами установил Nginx и ключи(ГОСТ, RSA):

Код:
apt update
apt install curl git build-essential linux-headers-$(uname -r)
wget https://raw.githubusercontent.com/fullincome/scripts/master/nginx-gost/install-nginx.sh && chmod +x install-nginx.sh
./install-nginx.sh --csp=linux-amd64_deb.tgz
wget https://raw.githubusercontent.com/fullincome/scripts/master/nginx-gost/install-certs.sh && chmod +x install-certs.sh
./install-certs.sh
/usr/sbin/nginx



Знания в базе знаний, поддержка в техподдержке
Offline alex_gl  
#76 Оставлено : 12 июня 2018 г. 10:38:57(UTC)
alex_gl

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.06.2018(UTC)
Сообщений: 1
Беларусь

Настроил криптопро+nginx. RSA сертификат отдается, а на ГОСТовый вылезает ошибка:


в логах nginx-а

[crit] 1860#1860: *2099 SSL_do_handshake() failed (SSL: error:8000601C:lib(128):gng_hash_init_common:CryptCreateHash error:14125044:SSLoutines:ssl3_digest_cached_records:internal error) while SSL handshaking, client: 127.0.0.1, server: 0.0.0.0:443

Что самое интересное - так же настраивал тестовый сервер на своем компьютере в виртуалке - там всё работает...

UPD:
обратил внимание, что на нерабочем сервере отсутствует провайдер KC2

Цитата:
cpconfig -defprov -view -provtype 75
Listing Available Providers:
Provider type Provider Name
_____________ _____________________________________
75 Crypto-Pro GOST R 34.10-2001 KC1 CSP
75 Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider

Provider types and provider names have been listed.


заработалао после установки вручную

Цитата:
rpm -i lsb-cprocsp-kc2-64-4.0.9944-5.x86_64.rpm


но в упор не помню, чтобы я это делал на первом сервере, где всё работало изначально

Отредактировано пользователем 12 июня 2018 г. 11:09:32(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#77 Оставлено : 12 июня 2018 г. 23:28:58(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: alex_gl Перейти к цитате
UPD:
обратил внимание, что на нерабочем сервере отсутствует провайдер KC2

...

заработалао после установки вручную

Цитата:
rpm -i lsb-cprocsp-kc2-64-4.0.9944-5.x86_64.rpm


Да, для работы в nginx нужен провайдер КС2, если устанавливали скриптами из данной темы, то это должно происходить автоматически.

Для работы КС1 можете использовать экспериментальный режим отложенной загрузки ключей: https://www.cryptopro.ru...ts&m=91061#post91061



Знания в базе знаний, поддержка в техподдержке
Offline Pechenko Vladimir  
#78 Оставлено : 20 июня 2018 г. 15:01:37(UTC)
Pechenko Vladimir

Статус: Участник

Группы: Участники
Зарегистрирован: 06.07.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате

Актуальная рабочая версия: https://update.cryptopro...t/nginx-gost/bin/174535/


Текущая версия gostengy является тестовой?
Когда планируется релиз?
Offline Дмитрий Пичулин  
#79 Оставлено : 20 июня 2018 г. 16:14:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Pechenko Vladimir Перейти к цитате
Автор: pd Перейти к цитате

Актуальная рабочая версия: https://update.cryptopro...t/nginx-gost/bin/174535/


Текущая версия gostengy является тестовой?
Когда планируется релиз?

По ссылке находится, как и сказано, актуальная рабочая версия. Что в вашем понимании означает "релиз"?

Если речь про сертификацию, то, как уточнялось ранее, сертифицируется конкретное решение, в состав которого может входить gostengy, сам же модуль является прослойкой к КриптоПро CSP.
Знания в базе знаний, поддержка в техподдержке
Offline Pechenko Vladimir  
#80 Оставлено : 20 июня 2018 г. 17:11:35(UTC)
Pechenko Vladimir

Статус: Участник

Группы: Участники
Зарегистрирован: 06.07.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате

По ссылке находится, как и сказано, актуальная рабочая версия. Что в вашем понимании означает "релиз"?


Тема начиналась с поста:

Автор: Ефремов Степан Перейти к цитате
Мы начали тестирование nginx, работающего с ENGINE gostengy.
...


Я думал, что есть план и сроки тестирования, после которого будет выпущена рабочая версия.
Но раз это актуальная рабочая версия - https://update.cryptopro.../nginx-gost/bin/174535/, то вопрос отпадает.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
39 Страницы«<678910>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.