Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

20 Страницы«<34567>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#81 Оставлено : 20 июня 2018 г. 17:17:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: Pechenko Vladimir Перейти к цитате
Тема начиналась с поста:

Автор: Ефремов Степан Перейти к цитате
Мы начали тестирование nginx, работающего с ENGINE gostengy.
...

Спасибо, поправим шапку.
Знания в базе знаний, поддержка в техподдержке
Offline Pechenko Vladimir  
#82 Оставлено : 20 июня 2018 г. 17:31:45(UTC)
Pechenko Vladimir

Статус: Участник

Группы: Участники
Зарегистрирован: 06.07.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
При тестировании, обратил внимание на такую ситуацию.
Если у клиента стоит CSP < 4.0, то при попытке обратиться к nginx из IE, HTTPS соединение сбрасывается.
В логе nginx при этом:
Код:

2018/06/20 14:20:18 [crit] 28433#28433: *41 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) while SSL handshaking, client: 172.16.1.2, server: 0.0.0.0:443


Понимаю, что все срабатывает очевидно и штатно.
Возможно ли на уровне настроек nginx, сделать так, чтобы клиенты, которые не поддерживают ГОСТ 2012 (CSP < 4.0), работали по RSA?
Offline Дмитрий Пичулин  
#83 Оставлено : 23 июня 2018 г. 1:29:00(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: Pechenko Vladimir Перейти к цитате
При тестировании, обратил внимание на такую ситуацию.
Если у клиента стоит CSP < 4.0, то при попытке обратиться к nginx из IE, HTTPS соединение сбрасывается.
В логе nginx при этом:
Код:

2018/06/20 14:20:18 [crit] 28433#28433: *41 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) while SSL handshaking, client: 172.16.1.2, server: 0.0.0.0:443


Понимаю, что все срабатывает очевидно и штатно.
Возможно ли на уровне настроек nginx, сделать так, чтобы клиенты, которые не поддерживают ГОСТ 2012 (CSP < 4.0), работали по RSA?

По идее, можно попробовать убрать "GOST2001-GOST89-GOST89", оставив только "GOST2012-GOST8912-GOST8912:HIGH".
Знания в базе знаний, поддержка в техподдержке
Offline Pechenko Vladimir  
#84 Оставлено : 23 июня 2018 г. 5:36:08(UTC)
Pechenko Vladimir

Статус: Участник

Группы: Участники
Зарегистрирован: 06.07.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Pechenko Vladimir Перейти к цитате
При тестировании, обратил внимание на такую ситуацию.
Если у клиента стоит CSP < 4.0, то при попытке обратиться к nginx из IE, HTTPS соединение сбрасывается.
В логе nginx при этом:
Код:

2018/06/20 14:20:18 [crit] 28433#28433: *41 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) while SSL handshaking, client: 172.16.1.2, server: 0.0.0.0:443


Понимаю, что все срабатывает очевидно и штатно.
Возможно ли на уровне настроек nginx, сделать так, чтобы клиенты, которые не поддерживают ГОСТ 2012 (CSP < 4.0), работали по RSA?

По идее, можно попробовать убрать "GOST2001-GOST89-GOST89", оставив только "GOST2012-GOST8912-GOST8912:HIGH".


Не помогло.
На клиенте CSP 3.9
Offline Дмитрий Пичулин  
#85 Оставлено : 23 июня 2018 г. 14:34:46(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: Pechenko Vladimir Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Pechenko Vladimir Перейти к цитате
При тестировании, обратил внимание на такую ситуацию.
Если у клиента стоит CSP < 4.0, то при попытке обратиться к nginx из IE, HTTPS соединение сбрасывается.
В логе nginx при этом:
Код:

2018/06/20 14:20:18 [crit] 28433#28433: *41 SSL_do_handshake() failed (SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low) while SSL handshaking, client: 172.16.1.2, server: 0.0.0.0:443


Понимаю, что все срабатывает очевидно и штатно.
Возможно ли на уровне настроек nginx, сделать так, чтобы клиенты, которые не поддерживают ГОСТ 2012 (CSP < 4.0), работали по RSA?

По идее, можно попробовать убрать "GOST2001-GOST89-GOST89", оставив только "GOST2012-GOST8912-GOST8912:HIGH".


Не помогло.
На клиенте CSP 3.9

И TLS 1.0 придётся разрешить. А возможно и ничего больше TLS 1.0.

Знания в базе знаний, поддержка в техподдержке
Offline Pechenko Vladimir  
#86 Оставлено : 24 июня 2018 г. 5:38:21(UTC)
Pechenko Vladimir

Статус: Участник

Группы: Участники
Зарегистрирован: 06.07.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате

...
И TLS 1.0 придётся разрешить. А возможно и ничего больше TLS 1.0.


Не получается. На клиенте с CSP 3.9 та же проблема.
Сейчас такая конфигурация SSL в nginx:
Код:

...
    server {
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      /etc/nginx/srvtest.pem;
        ssl_certificate_key  engine:gostengy:srvtest;
        ssl_certificate      srvtestRSA.pem;
        ssl_certificate_key  srvtestRSA.key;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_protocols TLSv1;
        ssl_ciphers GOST2012-GOST8912-GOST8912:HIGH;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
        
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}
...
Offline Дмитрий Пичулин  
#87 Оставлено : 26 июня 2018 г. 17:35:31(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: Pechenko Vladimir Перейти к цитате
Не получается. На клиенте с CSP 3.9 та же проблема.

Не очень понятно почему, возможно что-то не учитываем в алгоритме одновременной работы на уровне openssl или nginx.

Ваш вариант задачи интересный, нужны эксперименты с настройками, постараемся воспроизвести и посмотреть в чём дело.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#88 Оставлено : 2 июля 2018 г. 18:25:41(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Pechenko Vladimir Перейти к цитате
Не получается. На клиенте с CSP 3.9 та же проблема.

Не очень понятно почему, возможно что-то не учитываем в алгоритме одновременной работы на уровне openssl или nginx.

Ваш вариант задачи интересный, нужны эксперименты с настройками, постараемся воспроизвести и посмотреть в чём дело.

Проверили на Windows 7 + CSP 3.9, у нас работает согласно предложенной логике, то есть, для сертификатов 2012 года открывается RSA вариант.

Изучили исходники, где встречается SSL_R_VERSION_TOO_LOW, похоже ваш клиент пытается установить соединение с версией меньшей TLS 1.0, возможно это SSL 3.0, тогда в ssl_protocols необходимо указать SSLv3, но делать это крайне нежелательно, так как протокол SSL 3.0 устарел.

Если ошибка не в этом, ждём дамп трафика с проблемой.
Знания в базе знаний, поддержка в техподдержке
Offline Pechenko Vladimir  
#89 Оставлено : 3 июля 2018 г. 11:35:23(UTC)
Pechenko Vladimir

Статус: Участник

Группы: Участники
Зарегистрирован: 06.07.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Pechenko Vladimir Перейти к цитате
Не получается. На клиенте с CSP 3.9 та же проблема.

Не очень понятно почему, возможно что-то не учитываем в алгоритме одновременной работы на уровне openssl или nginx.

Ваш вариант задачи интересный, нужны эксперименты с настройками, постараемся воспроизвести и посмотреть в чём дело.

Проверили на Windows 7 + CSP 3.9, у нас работает согласно предложенной логике, то есть, для сертификатов 2012 года открывается RSA вариант.

Изучили исходники, где встречается SSL_R_VERSION_TOO_LOW, похоже ваш клиент пытается установить соединение с версией меньшей TLS 1.0, возможно это SSL 3.0, тогда в ssl_protocols необходимо указать SSLv3, но делать это крайне нежелательно, так как протокол SSL 3.0 устарел.

Если ошибка не в этом, ждём дамп трафика с проблемой.


Да, я не указал ОС, в которой проблема.
Это Windows XP(SP3), CSP 3.9, IE 8

Сделал дамп через ssldump:


Пробовал так же указывать SSLv3 в ssl_protocols.
Вот ошибка:
Offline Дмитрий Пичулин  
#90 Оставлено : 3 июля 2018 г. 11:40:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: Pechenko Vladimir Перейти к цитате
Да, я не указал ОС, в которой проблема.
Это Windows XP(SP3), CSP 3.9, IE 8

Сделал дамп через ssldump:


Пробовал так же указывать SSLv3 в ssl_protocols.
Вот ошибка:

Ваша система устарела, с большой вероятностью она не сможет открыть не только целевой nginx, а вообще любой современный https сайт.

Пробуйте использовать вместо набора HIGH, поддерживаемые сюиты из вашего дампа.

Знания в базе знаний, поддержка в техподдержке
Offline Pechenko Vladimir  
#91 Оставлено : 3 июля 2018 г. 12:10:19(UTC)
Pechenko Vladimir

Статус: Участник

Группы: Участники
Зарегистрирован: 06.07.2016(UTC)
Сообщений: 11
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Pechenko Vladimir Перейти к цитате
Да, я не указал ОС, в которой проблема.
Это Windows XP(SP3), CSP 3.9, IE 8

Сделал дамп через ssldump:


Пробовал так же указывать SSLv3 в ssl_protocols.
Вот ошибка:

Ваша система устарела, с большой вероятностью она не сможет открыть не только целевой nginx, а вообще любой современный https сайт.

Пробуйте использовать вместо набора HIGH, поддерживаемые сюиты из вашего дампа.



Понятно. Спасибо.

Offline lolkek  
#92 Оставлено : 16 июля 2018 г. 14:05:22(UTC)
lolkek

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3

Здравствуйте!
Подскажите где взять актуальную инструкцию для настройки ГОСТ TLS. Конкретно интересует под CentOS.
По инструкции из интернета вроде как удалось поднять на версии 3.9, по крайней мере хоть какой-то ответ был виден в браузере, но с ошибкой SSL_ERROR_NO_CYPHER_OVERLAP.
С версией 5.0 веб даже не запускается.

за основу была взята эта инструкция https://www.cryptopro.ru....aspx?g=posts&t=8733
действия с сертификатом по этой инструкции https://www.cryptopro.ru...aspx?g=posts&t=12505
Offline Дмитрий Пичулин  
#93 Оставлено : 16 июля 2018 г. 14:11:18(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: lolkek Перейти к цитате
Подскажите где взять актуальную инструкцию для настройки ГОСТ TLS. Конкретно интересует под CentOS.

Скрипты из данной теме и есть инструкция, лучше всего пользоваться ими на чистой машине с нужным вам CSP.

Если после отработки скриптов вы не получаете рабочую конфигурацию nginx с поддержкой одновременной работы ГОСТ и RSA, пишите, будем разбираться.

Знания в базе знаний, поддержка в техподдержке
Offline lolkek  
#94 Оставлено : 17 июля 2018 г. 10:25:21(UTC)
lolkek

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3

Поднял чистый CentOS 7. Запустил скрипт установки + CSP 5.0. Вроде как все выполнилось успешно, если не считать что пришлось вручную кое-что до устанавливать.
Второй скрипт сгенерировал 2 сертификата, применил конфиг.
Создал пользователя и systemd как в инструкции.

nginx не стартует со следующей ошибкой:
Please, type password:nginx: [emerg] ENGINE_load_private_key("*******") failed (SSL: error:80015032:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:engine ...ding private key)
nginx.service: control process exited, code=exited status=1
nginx: configuration file /etc/nginx/nginx.conf test failed
Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP requests password

openssl engine отображает только эту строчку:
(dynamic) Dynamic engine loading support

Ни в самом скрипте, ни в инструкции ничего про cnf файл не сказано. Но как я вижу в пункте - проверка openssl в инструкции, все же править его нужно.
Offline Дмитрий Пичулин  
#95 Оставлено : 25 июля 2018 г. 18:02:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: lolkek Перейти к цитате
Please, type password:nginx: [emerg] ENGINE_load_private_key("*******") failed (SSL: error:80015032:lib(128):gng_support_getuserkey:GNG_ERR_PIN error:26096080:engine ...ding private key)
nginx.service: control process exited, code=exited status=1
nginx: configuration file /etc/nginx/nginx.conf test failed
Crypto-Pro GOST R 34.10-2012 KC2 Strong CSP requests password

Ошибка говорящая: у вас пароль на контейнере.

Знания в базе знаний, поддержка в техподдержке
Offline lolkek  
#96 Оставлено : 27 июля 2018 г. 14:27:35(UTC)
lolkek

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.07.2018(UTC)
Сообщений: 3

Не доводилось ранее работать с чем-то таким, поэтому и спрашиваю актуальную инструкцию, в которой было бы все расписано шаг за шагом и желательно с комментариями. Во время работы скрипта был запрошен пароль, я его ввел.

В итоге, чтобы заработал ГОСТ TLS, что необходимо сделать?
Offline Дмитрий Пичулин  
#97 Оставлено : 27 июля 2018 г. 14:31:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: lolkek Перейти к цитате
Не доводилось ранее работать с чем-то таким, поэтому и спрашиваю актуальную инструкцию, в которой было бы все расписано шаг за шагом и желательно с комментариями. Во время работы скрипта был запрошен пароль, я его ввел.

В итоге, чтобы заработал ГОСТ TLS, что необходимо сделать?

Вам необходимо получить доступ к закрытому ключу на уровне nginx, в случае пароля и невозможности его ввода, пароль от контейнера необходимо или закешировать, или убрать (сделать пустым).

Для получения базовых знаний о работе наших продуктов, используйте поиск по форуму и базу знаний (ссылка есть в подписи к каждому сообщению).
Знания в базе знаний, поддержка в техподдержке
Offline sturi7l  
#98 Оставлено : 7 августа 2018 г. 18:34:46(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)

CentOS 7
Offline Дмитрий Пичулин  
#99 Оставлено : 8 августа 2018 г. 9:17:47(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,185
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 201 раз в 172 постах
Автор: sturi7l Перейти к цитате
Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)

CentOS 7

Известная проблема, но для разработчиков OpenSSL сторонние алгоритмы в низком приоритете: https://www.cryptopro.ru...ts&m=93625#post93625

Поэтому держим свою версию openssl, с небольшими патчами для корректной работы ГОСТ: https://github.com/deemru/openssl

В дистрибутиве CSP аналог этой версии.
Знания в базе знаний, поддержка в техподдержке
Offline sturi7l  
#100 Оставлено : 10 августа 2018 г. 13:10:37(UTC)
sturi7l

Статус: Участник

Группы: Участники
Зарегистрирован: 31.05.2017(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: sturi7l Перейти к цитате
Делал по инструкции, завелось только после ручной подмены openssl на патченый от КриптоПРО (mv /bin/openssl /bin/openssl.old; ln -s /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl /bin/openssl)

CentOS 7

Известная проблема, но для разработчиков OpenSSL сторонние алгоритмы в низком приоритете: https://www.cryptopro.ru...ts&m=93625#post93625

Поэтому держим свою версию openssl, с небольшими патчами для корректной работы ГОСТ: https://github.com/deemru/openssl

В дистрибутиве CSP аналог этой версии.


Да я и не в претензии. Просто в инструкции об этом ни слова, в свое время потратил на это какое-то количество времени. Может быть, имеет смысл отразить?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
20 Страницы«<34567>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.