Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: expelled  Получается следующая картина:
- По ГОСТ все работает.
- По RSA получается подключиться только при помощи openssl s_client. Все браузеры выдают ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
Странно, мы в основном как раз браузерами проверяем. Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21  Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: pd
Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?
Да, работает.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: expelled Автор: pd
Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?
Да, работает. Присылайте конфиги и шаги воспроизведения, мы таких ошибок ни разу не видели. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: pd Автор: expelled Автор: pd
Если RSA конфигурацию на отдельный порт повесить и зайти без "переключателя" -- в браузере открывается?
Да, работает. Присылайте конфиги и шаги воспроизведения, мы таких ошибок ни разу не видели. В атаче директория с конфигурацией nginx. Сертификаты и ключи не прикладываю, по понятным причинам. Для проверки по этой конфигурации вам нужно завести 2 домена: На нашем стенде используются CSP 3.9, gost_capi 20150926, nginx 1.8.0 c патчем 20150427. OpenSSL: Код:root@b16:/home/kalinin# openssl version
OpenSSL 1.0.1k 8 Jan 2015
root@b16:/home/kalinin# openssl engine
(rsax) RSAX engine support
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 127755 $)
В качестве клиентов используем:
- хост с Win 8.1 на котором есть CSP 3.9
- хост с OpenSUSE 13.2 на котором настроен gost engine, тот что идет в поставке OpenSSL
Подключение по ГОСТу проходит на обоих хостах. Подключение по RSA валится, в браузерах, на обох хостах. При это на хосте с OpenSUSE при помощи openssl s_client получается подключиться, и по ГОСТ, и по RSA.  nginx_for_cryptopro.zip (17kb) загружен 16 раз(а).
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: expelled Для проверки по этой конфигурации вам нужно завести 2 домена: Ошибка в том, что вы вешаете на порт 4 конфигурации, 2 ГОСТ + 2 RSA. На текущий момент мы реализовали переключение только между двумя конфигурациями на порту, 1 ГОСТ + 1 RSA. Уберите например a.example.ru и всё заработает. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: pd Автор: expelled Для проверки по этой конфигурации вам нужно завести 2 домена: Ошибка в том, что вы вешаете на порт 4 конфигурации, 2 ГОСТ + 2 RSA. На текущий момент мы реализовали переключение только между двумя конфигурациями на порту, 1 ГОСТ + 1 RSA. Уберите например a.example.ru и всё заработает. Да, при конфигурации с 1 доменом будет работать. Но у нас двухзначное число поддоменов, не содержать же хостов по количеству доменов. А их еще и резервировать нужно.. Есть шанс что когда-нибудь nginx c вашим патчем + gost_capi сможет и такую конфигурацию? Отредактировано пользователем 2 октября 2015 г. 15:25:31(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: expelled Но у нас двухзначное число поддоменов, не содержать же хостов по количеству доменов. Да, мы подобные конфигурации не тестировали, сейчас посмотрим, что можно улучшить. |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
В FAQ обновили патч в вопросе: " Как настроить одновременную работу ГОСТ и RSA в nginx?" Добавлена поддержка server_name. То есть, можно использовать переключение ГОСТ или RSA на более чем одной конфигурации на порту. |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 03.04.2015(UTC) Сообщений: 21 Откуда: СПб Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: pd В FAQ обновили патч в вопросе: " Как настроить одновременную работу ГОСТ и RSA в nginx?" Добавлена поддержка server_name. То есть, можно использовать переключение ГОСТ или RSA на более чем одной конфигурации на порту. Проверили работоспособность. Пока смотрели без нагрузки, все работает. Отредактировано пользователем 6 октября 2015 г. 16:28:16(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.11.2015(UTC)
Сообщений: 1
|
Кто нибудь пробовал наладить работу gost_capi и Stunnel 5.26 при загрузке ключа вылетает ошибка: Цитата:
Loading key from file: client.key
[!] error queue: 140B0009: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
[!] error queue: 907B00D: error:0907B00D:PEM routines:PEM_READ_BIO_PRIVATEKEY:ASN1 lib
[!] error queue: 606F091: error:0606F091:digital envelope routines:EVP_PKCS82PKEY:private key decode error
[!] error queue: 2006D002: error:2006D002:BIO routines:BIO_new_file:system lib
[!] SSL_CTX_use_PrivateKey_file: 2001005: error:02001005:system library:fopen:Input/output error
[!] Service [https]: Failed to initialize SSL context
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
