Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

67 Страницы«<3940414243>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#401 Оставлено : 14 августа 2018 г. 13:02:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Coriolis Перейти к цитате
Искал не по форуму, искал в яндексе - пришел на ту тему старую. Искал по запросу на код ошибки EVP_PBE_CipherInit:unknown pbe algorithm:crypto\evp\evp_pbe.c:93:TYPE=1.2.840.113549.1.12.1.80
Показалось смешно что 6 лет - всё там же.

На счёт идеологии теперь понятно, pem небезопасный и всё такое, и ключ хранить в открытом виде - караул и т.д. Хотя для разработки и отладки было бы удобно.

На самом деле, удобнее сразу работать правильно, чуть-чуть привыкнуть к реалиями отечественной криптографии и никаких неудобств не будет.

Шапку поправили.
Знания в базе знаний, поддержка в техподдержке
Offline alekseyNEW  
#402 Оставлено : 15 августа 2018 г. 14:07:21(UTC)
alekseyNEW

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.08.2018(UTC)
Сообщений: 4

Пытаемся использовать gostengy с нгинкс
Опенссл подцепил

1 nginx запустился но при проверке через браузер ERR_SSL_VERSION_OR_CIPHER_MISMATCH
куда стоит смотреть?

2 в строке ssl_certificate_key engine:gostengy:***; *** - это только cn из сертификата? И что делать если он кириллицей и содержит различные спецсимволы?
Offline Дмитрий Пичулин  
#403 Оставлено : 15 августа 2018 г. 14:28:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: alekseyNEW Перейти к цитате
Пытаемся использовать gostengy с нгинкс
Опенссл подцепил

1 nginx запустился но при проверке через браузер ERR_SSL_VERSION_OR_CIPHER_MISMATCH
куда стоит смотреть?

2 в строке ssl_certificate_key engine:gostengy:***; *** - это только cn из сертификата? И что делать если он кириллицей и содержит различные спецсимволы?

При сомнениях с указанием CN, а лучше всегда, используйте отпечаток сертификата для однозначности, подойдёт любой HEX-формат, примеры:

Код:
ssl_certificate_key "engine:gostengy:‎48 b1 9f b3 3b b6 37 c8 8a 54 d1 96 50 73 0b 67 e4 2d b1 21"

Код:
ssl_certificate_key "engine:gostengy:‎48b19fb33bb637c88a54d19650730b67e42db121"

Код:
ssl_certificate_key "engine:gostengy:‎48:B1:9F:B3:3B:B6:37:C8:8A:54:D1:96:50:73:0B:67:E4:2D:B1:21"
Знания в базе знаний, поддержка в техподдержке
Offline alekseyNEW  
#404 Оставлено : 15 августа 2018 г. 16:39:20(UTC)
alekseyNEW

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.08.2018(UTC)
Сообщений: 4

дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low)
при этому настройки
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;

куда стоит копать?
на клиенте мы поставили плагин для браузера - достаточно лиэтого?
Offline Дмитрий Пичулин  
#405 Оставлено : 15 августа 2018 г. 18:00:06(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: alekseyNEW Перейти к цитате
дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low)
при этому настройки
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;

куда стоит копать?
на клиенте мы поставили плагин для браузера - достаточно лиэтого?

"version too low" у нас встречалось при работе с очень древних клиентов на XP + CSP 3.6, у вас такие?

Знания в базе знаний, поддержка в техподдержке
Offline alekseyNEW  
#406 Оставлено : 15 августа 2018 г. 18:52:35(UTC)
alekseyNEW

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.08.2018(UTC)
Сообщений: 4

Автор: Дмитрий Пичулин Перейти к цитате
Автор: alekseyNEW Перейти к цитате
дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low)
при этому настройки
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
ssl_prefer_server_ciphers on;

куда стоит копать?
на клиенте мы поставили плагин для браузера - достаточно лиэтого?

"version too low" у нас встречалось при работе с очень древних клиентов на XP + CSP 3.6, у вас такие?


windows 10
csp 4 стоит - (его разве надо ставить на клиенте? недостаточно просто плагин поставить?)
Offline Дмитрий Пичулин  
#407 Оставлено : 15 августа 2018 г. 19:00:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: alekseyNEW Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: alekseyNEW Перейти к цитате
дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low)

"version too low" у нас встречалось при работе с очень древних клиентов на XP + CSP 3.6, у вас такие?

windows 10
csp 4 стоит - (его разве надо ставить на клиенте? недостаточно просто плагин поставить?)

Наличие КриптоПро CSP обязательно по умолчанию.

Присылайте дамп трафика, пока непонятно.
Знания в базе знаний, поддержка в техподдержке
Offline alekseyNEW  
#408 Оставлено : 16 августа 2018 г. 11:18:16(UTC)
alekseyNEW

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.08.2018(UTC)
Сообщений: 4

Автор: Дмитрий Пичулин Перейти к цитате
Автор: alekseyNEW Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: alekseyNEW Перейти к цитате
дошли до стадии и сейчас ошибка
SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low)

"version too low" у нас встречалось при работе с очень древних клиентов на XP + CSP 3.6, у вас такие?

windows 10
csp 4 стоит - (его разве надо ставить на клиенте? недостаточно просто плагин поставить?)

Наличие КриптоПро CSP обязательно по умолчанию.

Присылайте дамп трафика, пока непонятно.


openssl engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 174535 $)

openssl ciphers | tr ":" "\n" | grep -i gost
GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89

Openssl вроде ок

nmap --script ssl-enum-ciphers -p 443 127.0.0.1

Starting Nmap 7.01 ( https://nmap.org ) at 2018-08-16 11:09 MSK
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.19 seconds

ничего не вернул

конфиг веб сервера
listen 443 ssl ;
server_name localhost;

ssl_certificate /etc/nginx/ssl/.pem;
ssl_certificate_key engine:gostengy:hash;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:HIGH;
ssl_prefer_server_ciphers on;

Дамп сделаем и скинем в личку
Offline VictorFrom  
#409 Оставлено : 13 сентября 2018 г. 13:30:14(UTC)
VictorFrom

Статус: Активный участник

Группы: Участники
Зарегистрирован: 13.09.2018(UTC)
Сообщений: 36
Российская Федерация

Сказал(а) «Спасибо»: 9 раз
Подскажите, а где брать gostengy для windows?
Offline Дмитрий Пичулин  
#410 Оставлено : 13 сентября 2018 г. 14:36:02(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: VictorFrom Перейти к цитате
Подскажите, а где брать gostengy для windows?

Прочитать до конца FAQ в начале темы, там есть ответ на вопрос: "Как получить gostengy и gost_capi?"
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
67 Страницы«<3940414243>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.