logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#41 Оставлено : 19 апреля 2018 г. 17:27:36(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
При проверке установки nginx(/usr/sbin/nginx -V) - не наблюдаю строку built with OpenSSL 1.1.0g-dev xx XXX xxxx(как в примере). Подскажите, почему я не могу использовать гостовский сертификат?

Как nginx собрали? Скриптами из темы?



Да

Ошибка в том, что в библиотеке openssl, которую загружает nginx нет поддержки ГОСТ, что говорит либо о том, что engine не загрузилась корректно (хотя вы утверждаете, что openssl engine говорит об обратном), либо о том что nginx загружает другой openssl, или что-то ещё.

Пришлите версию ОС и полный лог действий по воспроизведению на чистой системе.
Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#42 Оставлено : 19 апреля 2018 г. 17:37:34(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
При проверке установки nginx(/usr/sbin/nginx -V) - не наблюдаю строку built with OpenSSL 1.1.0g-dev xx XXX xxxx(как в примере). Подскажите, почему я не могу использовать гостовский сертификат?

Как nginx собрали? Скриптами из темы?



Да

Ошибка в том, что в библиотеке openssl, которую загружает nginx нет поддержки ГОСТ, что говорит либо о том, что engine не загрузилась корректно (хотя вы утверждаете, что openssl engine говорит об обратном), либо о том что nginx загружает другой openssl, или что-то ещё.

Пришлите версию ОС и полный лог действий по воспроизведению на чистой системе.


Distributor ID: Ubuntu
Description: Ubuntu 14.04.5 LTS
Release: 14.04
Codename: trusty

В системе установлена OpenSSL 1.1.0 25 Aug 2016. Может попробовать её удалить, хотя вряд ли это поможет, nginx же не будет к установленной в системе OpenSSL обращаться?
Offline Дмитрий Пичулин  
#43 Оставлено : 19 апреля 2018 г. 17:44:22(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате

Distributor ID: Ubuntu
Description: Ubuntu 14.04.5 LTS
Release: 14.04
Codename: trusty

На вашей системе скрипты многократно обкатаны, проблем быть не должно никаких, читайте описание и пользуйтесь скриптами: https://github.com/fulli...ter/nginx-gost/README.md

Если вам какие-то команды не понятны, не пытайтесь действовать самостоятельно.

Автор: ilya19951995 Перейти к цитате

В системе установлена OpenSSL 1.1.0 25 Aug 2016. Может попробовать её удалить, хотя вряд ли это поможет, nginx же не будет к установленной в системе OpenSSL обращаться?

Это легко проверить, выполните "ldd /usr/sbin/nginx".
Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#44 Оставлено : 19 апреля 2018 г. 17:52:57(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате

Distributor ID: Ubuntu
Description: Ubuntu 14.04.5 LTS
Release: 14.04
Codename: trusty

На вашей системе скрипты многократно обкатаны, проблем быть не должно никаких, читайте описание и пользуйтесь скриптами: https://github.com/fulli...ter/nginx-gost/README.md

Если вам какие-то команды не понятны, не пытайтесь действовать самостоятельно.

Автор: ilya19951995 Перейти к цитате

В системе установлена OpenSSL 1.1.0 25 Aug 2016. Может попробовать её удалить, хотя вряд ли это поможет, nginx же не будет к установленной в системе OpenSSL обращаться?

Это легко проверить, выполните "ldd /usr/sbin/nginx".


И так этими скриптами пользуюсь, но к сожалению ошибку мне не удалось избежать.
После выполнения команды ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007ffc3f5a6000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007fc38da73000)
libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007fc38d83a000)
libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007fc38d5fc000)
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007fc38d39d000)
libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007fc38cfc1000)
libz.so.1 => /usr/local/lib/libz.so.1 (0x00007fc38cda6000)
libxml2.so.2 => /usr/lib/x86_64-linux-gnu/libxml2.so.2 (0x00007fc38ca40000)
libxslt.so.1 => /usr/lib/x86_64-linux-gnu/libxslt.so.1 (0x00007fc38c803000)
libexslt.so.0 => /usr/lib/x86_64-linux-gnu/libexslt.so.0 (0x00007fc38c5ed000)
libgd.so.3 => /usr/lib/x86_64-linux-gnu/libgd.so.3 (0x00007fc38c382000)
libGeoIP.so.1 => /usr/lib/x86_64-linux-gnu/libGeoIP.so.1 (0x00007fc38c153000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007fc38bd8a000)
/lib64/ld-linux-x86-64.so.2 (0x00007fc38dc91000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007fc38bb86000)
liblzma.so.5 => /lib/x86_64-linux-gnu/liblzma.so.5 (0x00007fc38b964000)
libm.so.6 => /lib/x86_64-linux-gnu/libm.so.6 (0x00007fc38b65e000)
libgcrypt.so.11 => /lib/x86_64-linux-gnu/libgcrypt.so.11 (0x00007fc38b3de000)
libjpeg.so.8 => /usr/lib/x86_64-linux-gnu/libjpeg.so.8 (0x00007fc38b189000)
libpng12.so.0 => /lib/x86_64-linux-gnu/libpng12.so.0 (0x00007fc38af63000)
libfreetype.so.6 => /usr/lib/x86_64-linux-gnu/libfreetype.so.6 (0x00007fc38acc0000)
libfontconfig.so.1 => /usr/lib/x86_64-linux-gnu/libfontconfig.so.1 (0x00007fc38aa84000)
libXpm.so.4 => /usr/lib/x86_64-linux-gnu/libXpm.so.4 (0x00007fc38a872000)
libvpx.so.1 => /usr/lib/x86_64-linux-gnu/libvpx.so.1 (0x00007fc38a493000)
libtiff.so.5 => /usr/lib/x86_64-linux-gnu/libtiff.so.5 (0x00007fc38a220000)
libgpg-error.so.0 => /lib/x86_64-linux-gnu/libgpg-error.so.0 (0x00007fc38a01b000)
libexpat.so.1 => /lib/x86_64-linux-gnu/libexpat.so.1 (0x00007fc389df1000)
libX11.so.6 => /usr/lib/x86_64-linux-gnu/libX11.so.6 (0x00007fc389abc000)
libjbig.so.0 => /usr/lib/x86_64-linux-gnu/libjbig.so.0 (0x00007fc3898ae000)
libxcb.so.1 => /usr/lib/x86_64-linux-gnu/libxcb.so.1 (0x00007fc38968f000)
libXau.so.6 => /usr/lib/x86_64-linux-gnu/libXau.so.6 (0x00007fc38948b000)
libXdmcp.so.6 => /usr/lib/x86_64-linux-gnu/libXdmcp.so.6 (0x00007fc389285000)
Offline Дмитрий Пичулин  
#45 Оставлено : 19 апреля 2018 г. 18:02:59(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате

libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007fc38d39d000)
libcrypto.so.1.0.0 => /lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007fc38cfc1000)

Либо вы собрали не по скриптам (инструкции), либо установили не по скриптам (инструкции), но у вас nginx грузит системную openssl, при чём не версии 1.0.0, а не 1.1.0 как должно быть.

Есть ошибки в скриптах? -- пишите, пытаетесь разобраться самостоятельно, помощи будет много меньше.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
ilya19951995 оставлено 19.04.2018(UTC)
Offline ilya19951995  
#46 Оставлено : 21 апреля 2018 г. 21:49:50(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Добрый вечер. Может кому пригодится, Моя проблема заключалась в том, что я устанавливая nginx по скриптам не удалил свою старую версию nginx, я думал что новая версия заменит предыдущую, в этом и была моя ошибка. На данный момент все проверки представленные в статье я прохожу, но гостовский сертификат мне не один браузер не возвращает. Помимо IE пробовал массу других браузеров, например, в яндекс-браузере существует возможность работать с гостовскими сертами, но и там возвращается серт RSA. Если оставить в конфигах nginx только один гостовский серт, то браузер выкидывает ошибку "ERR_SSL_VERSION_OR_CHIPHER_MISMATCH" или очень похожую на неё. Подскажите пожалуйста как обойти эту проблему? Пробовал выключать/удалять антивирусник, выключал брандмауэр, добавлял этот гостовский серт в коллекцию и тд.
Offline Дмитрий Пичулин  
#47 Оставлено : 21 апреля 2018 г. 22:40:35(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате
но и там возвращается серт RSA

Покажите конфиг nginx.

Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#48 Оставлено : 22 апреля 2018 г. 8:43:15(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
но и там возвращается серт RSA

Покажите конфиг nginx.



Отредактировано модератором 22 апреля 2018 г. 9:38:31(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#49 Оставлено : 22 апреля 2018 г. 9:41:48(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате

А вы точно нашим openssl пользуетесь в nginx? Или снова системным? (как это проверить уже выше обсуждалось)

Необходимо пользоваться нашим. Системный может содержать ошибку, не позволяющую работать госту: https://github.com/opens...77ff7425598802b91924652d

Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#50 Оставлено : 22 апреля 2018 г. 14:32:38(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате

А вы точно нашим openssl пользуетесь в nginx? Или снова системным? (как это проверить уже выше обсуждалось)

Необходимо пользоваться нашим. Системный может содержать ошибку, не позволяющую работать госту: https://github.com/opens...77ff7425598802b91924652d



Я пользуюсь вашим. Могу удалить локальный openssl на всякий случай. Подскажите ещё как перезапустить вашу сборку nginx, надо дописывать скрипт по старту, стопу, перезапуску...? через service nginx ... не получается
ldd /usr/sbin/nginx:
linux-vdso.so.1 => (0x00007fffafb72000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f2fb657d000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f2fb635f000)
libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f2fb6126000)
libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007f2fb5ee8000)
libssl.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libssl.so.1.1 (0x00007f2fb5c7a000)
libcrypto.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so.1.1 (0x00007f2fb57f6000)
libz.so.1 => /usr/local/lib/libz.so.1 (0x00007f2fb55db000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f2fb5212000)
/lib64/ld-linux-x86-64.so.2 (0x00007f2fb6acd000)
Offline Дмитрий Пичулин  
#51 Оставлено : 22 апреля 2018 г. 17:05:42(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате
Я пользуюсь вашим. Могу удалить локальный openssl на всякий случай. Подскажите ещё как перезапустить вашу сборку nginx, надо дописывать скрипт по старту, стопу, перезапуску...? через service nginx ... не получается
ldd /usr/sbin/nginx:
linux-vdso.so.1 => (0x00007fffafb72000)
libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007f2fb657d000)
libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007f2fb635f000)
libcrypt.so.1 => /lib/x86_64-linux-gnu/libcrypt.so.1 (0x00007f2fb6126000)
libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007f2fb5ee8000)
libssl.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libssl.so.1.1 (0x00007f2fb5c7a000)
libcrypto.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so.1.1 (0x00007f2fb57f6000)
libz.so.1 => /usr/local/lib/libz.so.1 (0x00007f2fb55db000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f2fb5212000)
/lib64/ld-linux-x86-64.so.2 (0x00007f2fb6acd000)

Вроде всё в порядке, а как вы проверяете? На клиентских машинах КриптоПро CSP установлен?

Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#52 Оставлено : 22 апреля 2018 г. 17:18:48(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате

Вроде всё в порядке, а как вы проверяете? На клиентских машинах КриптоПро CSP установлен?



Да, установен, 4 версия, пробовал через IE, а так через другие браузеры. Скажите, какая константа должна быть в конфиге nginx(ssl_ciphers) для того чтобы использовался алгоритм шифрования - кузнечик и какая для магмы? И где можно увидеть эти константы в задокументированном виде? Хочу чтобы при перехвате пакетов tls в случае если всё таки гостовский серт будет отдаваться я мог видеть констануту кузнечика(TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC).
Offline Дмитрий Пичулин  
#53 Оставлено : 22 апреля 2018 г. 19:10:43(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате
Автор: pd Перейти к цитате

Вроде всё в порядке, а как вы проверяете? На клиентских машинах КриптоПро CSP установлен?



Да, установен, 4 версия, пробовал через IE, а так через другие браузеры. Скажите, какая константа должна быть в конфиге nginx(ssl_ciphers) для того чтобы использовался алгоритм шифрования - кузнечик и какая для магмы? И где можно увидеть эти константы в задокументированном виде? Хочу чтобы при перехвате пакетов tls в случае если всё таки гостовский серт будет отдаваться я мог видеть констануту кузнечика(TLS_GOSTR341112_256_WITH_KUZNYECHIK_CTR_OMAC).

Поддержки этого шифра в настоящий момент у нас нет.

Мы не можем воспроизвести вашу ошибку, пришлите полный лог действий для воспроизведения на чистой системе.

Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#54 Оставлено : 22 апреля 2018 г. 19:47:40(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате

Поддержки этого шифра в настоящий момент у нас нет.


В моём случае без этого шифра отпадает надобность использования гостовского сертификата. Подскажите не планируется внедрнение кузнечика в nginx? Наверное вопрос не к вам, помимо nginx как ещё можно добиться https соединения с шифрованием данных с помощью кузнечика, влияет как-нибудь сертификат на алгоритм который будет выбран в tls или я могу использовать RSA серт вместе с кузнечиком?
Offline Дмитрий Пичулин  
#55 Оставлено : 22 апреля 2018 г. 21:50:29(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате
В моём случае без этого шифра отпадает надобность использования гостовского сертификата.

Что это за случай такой, откуда такие требования?


Знания в базе знаний, поддержка в техподдержке
Offline ilya19951995  
#56 Оставлено : 23 апреля 2018 г. 20:12:06(UTC)
ilya19951995

Статус: Участник

Группы: Участники
Зарегистрирован: 19.04.2018(UTC)
Сообщений: 12
Гвинея
Откуда: Гвинея

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
В моём случае без этого шифра отпадает надобность использования гостовского сертификата.

Что это за случай такой, откуда такие требования?


Одно из условий в дипломной работе
Offline Дмитрий Пичулин  
#57 Оставлено : 23 апреля 2018 г. 21:09:42(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ilya19951995 Перейти к цитате
Автор: pd Перейти к цитате
Автор: ilya19951995 Перейти к цитате
В моём случае без этого шифра отпадает надобность использования гостовского сертификата.

Что это за случай такой, откуда такие требования?


Одно из условий в дипломной работе

Как справитесь, пришлите ссылочку, очень интересно.

Знания в базе знаний, поддержка в техподдержке
Offline geniymax  
#58 Оставлено : 27 апреля 2018 г. 16:56:29(UTC)
geniymax

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.03.2018(UTC)
Сообщений: 4
Откуда: Новосибирск

Добрый день!
Имеется nginx следующей сборки:
nginx -V
nginx version: nginx/1.12.2
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-11) (GCC)
built with OpenSSL 1.1.0g-dev xx XXX xxxx
TLS SNI support enabled

ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007ffef3ccb000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f8768fc8000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f8768dac000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007f8768b74000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f8768913000)
libssl.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libssl.so.1.1 (0x00007f87686a5000)
libcrypto.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so.1.1 (0x00007f8768220000)
libz.so.1 => /lib64/libz.so.1 (0x00007f876800a000)
libc.so.6 => /lib64/libc.so.6 (0x00007f8767c49000)
/lib64/ld-linux-x86-64.so.2 (0x00007f876952f000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007f8767a45000)

Nginx в моем случае используется как прокси-сервер для поднятия TLS туннеля до внешнего сервиса.
Конф-ый файл содержит след. настройки:
server {
....
proxy_ssl_certificate<-><------>/var/opt/cprocsp/keys/root/bcs_test.cer;
proxy_ssl_certificate_key<----->"engine:gostengy:bcs test certificate";
proxy_ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
proxy_ssl_protocols TLSv1;
proxy_pass https://test.kontur-ca.ru:443/;
...
proxy_set_header<------>Host $host;
proxy_set_header<------>X-Real-IP $remote_addr;
proxy_set_header<------>X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
При попытке отправить запрос с сервера приложений через Nginx на внешний сервис с использованием TLS, получаю ответ следующего плана:
User-Agent: curl/7.29.0
> Host: 172.18.141.22:6443
> Accept: */*
>
< HTTP/1.1 404 Not Found
< Server: nginx
< Date: Fri, 27 Apr 2018 12:12:15 GMT
< Content-Type: text/html; charset=us-ascii
< Content-Length: 315
< Connection: keep-alive
<
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Not Found</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Not Found</h2>
<hr><p>HTTP Error 404. The requested resource is not found.</p>
</BODY></HTML>

Поддержка внешнего сервиса говорит, к ним запрос не доходит.
Встает вопрос - как проверить, поднимает ли Nginx соединение TLS?
И корректно ли в такой конфигурации вообще применять Nginx?
Спасибо!

Отредактировано пользователем 27 апреля 2018 г. 16:57:28(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#59 Оставлено : 27 апреля 2018 г. 17:10:11(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 946
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: geniymax Перейти к цитате
Host: 172.18.141.22:6443
> Accept: */*
>
< HTTP/1.1 404 Not Found

Вы прислали огрызок конфигурации, какие-то выводы сделать сложно.

Предположительно, nginx работает корректно, конфигурации некорректна.

Знания в базе знаний, поддержка в техподдержке
Offline geniymax  
#60 Оставлено : 27 апреля 2018 г. 17:16:15(UTC)
geniymax

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.03.2018(UTC)
Сообщений: 4
Откуда: Новосибирск

Автор: pd Перейти к цитате
Автор: geniymax Перейти к цитате
Host: 172.18.141.22:6443
> Accept: */*
>
< HTTP/1.1 404 Not Found

Вы прислали огрызок конфигурации, какие-то выводы сделать сложно.

Предположительно, nginx работает корректно, конфигурации некорректна.



server {
listen 6443;
server_name 172.18.141.22;
access_log<---->/var/log/nginx/diadoc.access.log;
access_log<---->/var/log/nginx/diadoc.access_upstream.log<----->upstream;
error_log<----->/var/log/nginx/diadoc.error.log debug;
<------>error_page<---->500 502 503 504><------>/50x.html;
location / {
proxy_ssl_certificate<-><------>/var/opt/cprocsp/keys/root/bcs_test.cer;
proxy_ssl_certificate_key<----->"engine:gostengy:bcs test certificate";
proxy_ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
proxy_ssl_protocols TLSv1;
proxy_pass https://46.17.202.91:443/;
proxy_redirect http://172.18.141.22 https://172.18.141.22:6443;
proxy_set_header<------>Host $host;
proxy_set_header<------>X-Real-IP $remote_addr;
proxy_set_header<------>X-Forwarded-For $proxy_add_x_forwarded_for;
<------><------>}
<------>}

запрос выглядит вот так:
curl -v http://172.18.141.22:6443/CC/CertificateInfo/FindForms?Phone=9032860889?Inn=519049708009
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
12 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.