Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vitaliy18  
#1 Оставлено : 30 ноября 2017 г. 19:10:57(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Добрый день.
CSP (Type:75) v3.9.8010 KC1 Release Ver:3.9.8495 OS:Linux CPU:AMD64 FastCode:READY:SSSE3

Для подключения использую curl который идёт с csp (/opt/cprocsp/bin/amd64/curl)

Каждый час с ~20 до ~40 минут на запросы к серверам, требующих сертификаты (один из них с ключом):
curl: (58) Problem with the local SSL certificate

в auth.log появляется:
libssp: AddToMessageLog CryptoPro TLS. Error 0x80090327 validating server *** certificate: An unknown error occurred while processing the certificate.

При подключении к серверу который не требует сертификата, ошибки не возникает.
Offline Максим Коллегин  
#2 Оставлено : 30 ноября 2017 г. 19:30:55(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,092
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 19 раз
Поблагодарили: 613 раз в 546 постах
Скорее всего связано с нюансами сертификата сервера. Как часто выпускается CRL?
Знания в базе знаний, поддержка в техподдержке
Offline vitaliy18  
#3 Оставлено : 30 ноября 2017 г. 19:37:20(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Не знаю.
Но это проявляется на двух серверах, к которым я подключаюсь.
Сервера между собой не связаны.
Offline vitaliy18  
#4 Оставлено : 1 декабря 2017 г. 10:37:10(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Доброе утро.

до 10 утра по мск всё работало штатно, а сейчас опять curl: (58) Problem with the local SSL certificate

Пожалуйста помогите.
Offline Зубов Иван  
#5 Оставлено : 1 декабря 2017 г. 12:10:53(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 25
Мужчина

Сказал «Спасибо»: 3 раз
Поблагодарили: 10 раз в 10 постах
Очень похоже на проблему CPCSP-7930, которую мы починили в 3.9 только недавно, 7-го ноября, и это пока не попало ни в какой релиз 3.9. Есть временное решение, позволяющее обойти эту проблему.

В файле конфигурации /etc/opt/cprocsp/config.ini или config64.ini есть секция, отвечающая за параметры кэша сертификатов и CRL, который был повинен в CPCSP-7930. По умолчанию она выглядит так:
[Capilite\cache_settings]
# Параметры CryptRetriveObjectByURL
max_elements=100
fresh_time=3600

Первый параметр задаёт максимальное количество объектов в кэше. Если выставить его в 0, то недостающие в хранилищах данные при построении и проверке цепочки всегда будут подгружаться из сети, кэш использоваться не будет. Это медленно, зато должно работать всегда.
Второй параметр задаёт максимальное время жизни объектов в кэше в секундах (по умолчанию -- 1 час). Если выставить его в 0, то результат должен быть таким же, как и при занулении предыдущего параметра.

Для надёжности стоит попробовать занулить оба параметра и посмотреть, что произойдёт. Высока вероятность, что это избавит вас от данной проблемы!
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Зубов Иван за этот пост.
vitaliy18 оставлено 03.12.2017(UTC)
Offline vitaliy18  
#6 Оставлено : 1 декабря 2017 г. 13:27:18(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Вроде помогло.

Буду отслеживать в течении дня.
Спасибо!
Offline vitaliy18  
#7 Оставлено : 27 декабря 2017 г. 17:22:10(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Добрый день и с наступающим.
Вот уже как час эта ошибка возникает с
max_elements=0
fresh_time=0
Offline Зубов Иван  
#8 Оставлено : 27 декабря 2017 г. 17:32:04(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 25
Мужчина

Сказал «Спасибо»: 3 раз
Поблагодарили: 10 раз в 10 постах
Здравствуйте!

Чтобы лучше понять, что происходит, вы можете объявить переменную окружения CP_PRINT_CHAIN_DETAIL=1 и посмотреть на вывод утилит.

Навскидку есть такая смелая мысль: при отключённом кэше и проверке цепочки мы всегда лазим в сеть за данными (в частности, за CRL и сертификатами). Если не удаётся подключиться к какому-то серверу, то тут уж мы не при делах -- для успешной проверки веб-ресурсы УЦ всегда должны быть доступны. Включённый и правильно работающий кэш мог бы иногда смягчить, загладить эту проблему, но не принципиально устранить её.
Техническую поддержку оказываем тут
Наша база знаний
Offline vitaliy18  
#9 Оставлено : 27 декабря 2017 г. 20:25:38(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Автор: ivan_zubov Перейти к цитате
Здравствуйте!

Чтобы лучше понять, что происходит, вы можете объявить переменную окружения CP_PRINT_CHAIN_DETAIL=1 и посмотреть на вывод утилит.

Навскидку есть такая смелая мысль: при отключённом кэше и проверке цепочки мы всегда лазим в сеть за данными (в частности, за CRL и сертификатами). Если не удаётся подключиться к какому-то серверу, то тут уж мы не при делах -- для успешной проверки веб-ресурсы УЦ всегда должны быть доступны. Включённый и правильно работающий кэш мог бы иногда смягчить, загладить эту проблему, но не принципиально устранить её.


добавить в config64.ini или при запросе чере /opt/cprocsp/bin/amd64/curl?
Offline Зубов Иван  
#10 Оставлено : 28 декабря 2017 г. 10:18:05(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 25
Мужчина

Сказал «Спасибо»: 3 раз
Поблагодарили: 10 раз в 10 постах
Добавить переменную окружения. На *nix-системах при использовании командной оболочки bash это делается так: запускаете консоль, запускаете в ней команду export CP_PRINT_CHAIN_DETAIL=1, а затем в той же самой консоли, в той же самой сессии запускаете вашу команду/скрипт. Voila! Статья "Переменная среды" на Википедии

Отредактировано пользователем 28 декабря 2017 г. 10:19:49(UTC)  | Причина: форматирование ссылки

Техническую поддержку оказываем тут
Наша база знаний
Offline vitaliy18  
#11 Оставлено : 28 декабря 2017 г. 12:20:27(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Ну как появится ошибка, запущу отдельно.
Offline vitaliy18  
#12 Оставлено : 28 мая 2018 г. 10:54:10(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Добрый день.
За прошедшее время ошибка появлялась пару раз.
Но прямо сейчас - уже в течении часа!
CP_PRINT_CHAIN_DETAIL=1 добавил но никакой дополнительной информации в консоли не появилось.
Offline Зубов Иван  
#13 Оставлено : 28 мая 2018 г. 12:15:13(UTC)
Зубов Иван

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 02.11.2017(UTC)
Сообщений: 25
Мужчина

Сказал «Спасибо»: 3 раз
Поблагодарили: 10 раз в 10 постах
Здравствуйте, Виталий!

Да, прошу прощения, обработка переменной окружения CP_PRINT_CHAIN_DETAIL появилась только начиная с 4.0, а в 3.9 она не влияет на вывод. Моя ошибка!

Если проблема проявляется при подключении к двум точно не связанным между собой серверам и если у вас стабильная связь с этими серверами, то действительно, похоже на какие-то ошибки у нас.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.