Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

5 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline chemtech  
#1 Оставлено : 1 ноября 2017 г. 11:53:34(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Добрый день!
Пытаюсь сделать nginx сервер с КриптоПро, используя ванильный nginx
При запуске nginx получаю вот такую ошибку

Код:
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)


Вот тут http://www.cryptopro.ru/...aspx?g=posts&m=57216 написано
Код:
UPD: ВНИМАНИЕ: стабильная ветка nginx с нашим патчем "одновременной работы" доступна на GitHub: https://github.com/deemru/nginx


Вопрос: нужно ли патчить nginx работы с КриптоПро и Гостовским шифрованием?

UPD:
Код:
nginx -v
nginx version: nginx/1.11.1

Отредактировано модератором 8 ноября 2017 г. 10:46:22(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#2 Оставлено : 1 ноября 2017 г. 12:06:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате
Вопрос: нужно ли патчить nginx работы с КриптоПро и Гостовским шифрованием?

Патчить не нужно, но использовать необходимо nginx >= 1.12.0 для одновременной работы ГОСТ и RSA.

И nginx >= 1.8.0 для работы наших openssl engine.

Предварительно следует проверить работоспособность наших engine командой: "openssl engine"

Отредактировано пользователем 1 ноября 2017 г. 12:09:13(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#3 Оставлено : 1 ноября 2017 г. 12:47:11(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Код:
nginx -v
nginx version: nginx/1.12.2


При запуске выдает
Код:
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)


Сертификаты создавал вот по этому скрипту
https://github.com/fulli...nx-gost/install-certs.sh

Цитата:
openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support

Отредактировано пользователем 1 ноября 2017 г. 12:49:55(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#4 Оставлено : 1 ноября 2017 г. 12:49:49(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате

При запуске выдает
Код:
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)

С большой вероятностью не подгружается наша engine в openssl, если openssl пользуете тоже оригинальный, не забудьте прописать нашу engine в openssl.cnf, команда проверки выше.
Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#5 Оставлено : 1 ноября 2017 г. 12:53:32(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
После добавления в конец файла /etc/pki/tls/openssl.cnf

Код:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gost_capi = gost_section

[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1


openssl engine выдает

Код:
openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
Offline Дмитрий Пичулин  
#6 Оставлено : 1 ноября 2017 г. 12:55:04(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате
После добавления в конец файла /etc/pki/tls/openssl.cnf

Почему в конец? FAQ: https://www.cryptopro.ru....aspx?g=posts&t=8544

Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#7 Оставлено : 1 ноября 2017 г. 13:03:38(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Код:
Как сконфигурировать OpenSSL?

Загрузку gost_capi через конфигурационный файл OpenSSL можно сделать так (обычно вставляется после "oid_section = new_oids"):



тут не написано как исправлять openssl.cnf (очистить файл и добавить из примера, добавить в конец или добавить поля в определенные секции)
Offline Дмитрий Пичулин  
#8 Оставлено : 1 ноября 2017 г. 13:07:59(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате
Код:
Как сконфигурировать OpenSSL?

Загрузку gost_capi через конфигурационный файл OpenSSL можно сделать так (обычно вставляется после "oid_section = new_oids"):



тут не написано как исправлять openssl.cnf (очистить файл и добавить из примера, добавить в конец или добавить поля в определенные секции)

Как вы понимаете, работа оригинального openssl это не наш функционал, поэтому мы не можем гарантировать его работу на всех системах во всех случаях. Обычно работает ровно так как написано в FAQ.

Попробуйте взять за основу openssl.cnf из нашего пакета cpopenssl.
Знания в базе знаний, поддержка в техподдержке
Offline chemtech  
#9 Оставлено : 1 ноября 2017 г. 13:19:49(UTC)
chemtech

Статус: Активный участник

Группы: Участники
Зарегистрирован: 01.11.2011(UTC)
Сообщений: 174

Сказал(а) «Спасибо»: 11 раз
Поблагодарили: 1 раз в 1 постах
Понятно что не ваш функционал.


Тогда нужно добавить в инструкцию
Код:
cp  /var/opt/cprocsp/cp-openssl/openssl.cnf /etc/pki/tls/openssl.cnf


Ошибка все равно есть
Код:
openssl engine
(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost_capi) CryptoPro ENGINE GOST CAPI ($Revision: 147820 $)

nginx
nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/srvtest.pem") failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)

Отредактировано пользователем 1 ноября 2017 г. 13:20:44(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#10 Оставлено : 1 ноября 2017 г. 13:23:30(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: chemtech Перейти к цитате
Ошибка все равно есть

Проверьте, что nginx и openssl пользуются одним и тем же набором библиотек openssl командами "ldd /path/to/nginx" и "ldd /path/to/openssl".

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
5 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.