Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Настройка nginx + КриптоПро CSP 4.0 R3 на ubuntu 18.04 для работы с сертификатами ГОСТ 2012
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC) Сообщений: 174
Сказал(а) «Спасибо»: 11 раз Поблагодарили: 1 раз в 1 постах
|
Добрый день! Пытась установить КриптоПро CSP 4.0 R3 Код:sudo apt-get update && sudo apt-get install -y nginx lsb-core
Скачал КриптоПро CSP 4.0 R3 (исполнения 1-Base/2-Base и 1-Lic/2-Lic).
Распаковал.
cd linux-amd64_deb/
sudo linux-amd64_deb/install.sh
sudo /opt/cprocsp/sbin/amd64/cpconfig -hardware reader -add HDIMAGE store
wget https://raw.githubusercontent.com/fullincome/scripts/master/nginx-gost/install-certs.sh
chmod +x ./install-certs.sh
sudo dpkg -i cprocsp-cpopenssl-base_4.0.9944-5_all.deb
sudo dpkg -i cprocsp-cpopenssl-64_4.0.9944-5_amd64.deb
sudo dpkg -i cprocsp-cpopenssl-gost-64_4.0.9944-5_amd64.deb
sudo dpkg -i lsb-cprocsp-kc2-64_4.0.9944-5_amd64
sudo mcedit /usr/lib/ssl/openssl.cnf
openssl engine
Файл /usr/lib/ssl/openssl.cnf поправил Код:
cat /usr/lib/ssl/openssl.cnf
#
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#
# This definition stops the following lines choking if HOME isn't
# defined.
HOME = .
RANDFILE = $ENV::HOME/.rnd
# Extra OBJECT IDENTIFIER info:
#oid_file = $ENV::HOME/.oid
oid_section = new_oids
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
gost_capi = gost_section
[gost_section]
engine_id = gost_capi
dynamic_path = /opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1
openssl engine Код:(dynamic) Dynamic engine loading support
139812756447680:error:260B6091:engine routines:dynamic_load:version incompatibility:../crypto/engine/eng_dyn.c:454:
139812756447680:error:260BC066:engine routines:int_engine_configure:engine configuration error:../crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl/lib/amd64/engines/libgost_capi.so
139812756447680:error:0E07606D:configuration file routines:module_run:module initialization error:../crypto/conf/conf_mod.c:173:module=engines, value=engine_section, retcode=-1
Скажите пожалуйста как настроить nginx + КриптоПро CSP 4.0 R3 на ubuntu 18.04 для работы с сертификатами ГОСТ 2012 ?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,383 Сказал «Спасибо»: 53 раз Поблагодарили: 776 раз в 718 постах
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC) Сообщений: 174
Сказал(а) «Спасибо»: 11 раз Поблагодарили: 1 раз в 1 постах
|
Добрый день! Там компилируется nginx с openssl. А я пытаюсь использовать nginx из дистрибутива и openssl 1.1.0 из дистрибутива + КриптоПро CSP 4.0 R3 на ubuntu 18.04. Как это можно реализовать? Отредактировано пользователем 26 октября 2018 г. 11:15:54(UTC)
| Причина: Не указана
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Вы используете версию openssl 1.1.0, для которой требуется модуль gostengy. В сочетании с Криптопро 4.0 они поддерживают гост-2012 (и гост-2001). Модуль gost_capi предназначен только для openssl 1.0.x, он поддерживает только гост-2001, но не гост-2012 (старые версии поддерживали и гост-94). Именно об несоответствии версии модуля и версии самой openssl говорит ошибка dynamic_load:version incompatibility. Подробнее в соседней закрепленной теме https://www.cryptopro.ru...ts&m=55563#post55563Вкратце: Вам нужно будет заменить библиотеку gost_capi на библиотеку gostengy и поправить в конфиге три строчки Код:gostengy = gost_section
[gost_section]
engine_id = gostengy
dynamic_path = путь_к_gostengy
Имя перед gost_section должно соответствать engine_id в секции gost_section.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC) Сообщений: 174
Сказал(а) «Спасибо»: 11 раз Поблагодарили: 1 раз в 1 постах
|
в той статье https://www.cryptopro.ru...ts&m=55563#post55563 пишут: Код:Для OpenSSL >= 1.1.0 поддерживаются версии TLS до 1.2 (рекомендуем использовать openssl-1.1.0-gost)
Т.е. для того чтобы nginx c OpenSSL >= 1.1.0 видел ГОСТ-2012 из коробки нужно что то скачивать/патчить/заменять библиотеки? Из коробки КриптоПро CSP 4.0 R3 с OpenSSL >= 1.1.0 может работать с ГОСТ 2012 ?
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 394 раз в 366 постах
|
Да, если интересует только ГОСТ-2012, то может, но не гарантируется будет работать только протокол TLS 1.0 или протокол TLS 1.2 тоже. Как я понимаю, в новых версиях 1.1.0 (определяются по букве) что-то подкрутили и они уже работают с TLS 1.2 из коробки и исправлений не требуется. Однако внимательно за всеми версиями никто не следит, потому заработает ли именно Ваша версия openssl с TLS 1.2 из коробки гарантии нет. В то же время исправленная версия от криптопро гарантированно работает с модулем gostengy от криптопро с поддержкой TLS 1.2. Если не хотите заменять библиотеки openssl сначала попробуйте их штатно обновить.
В средних версиях openssl 1.1.0 был баг из-за которого алгоритмы из модулей не работали, именно из-за бага особо рекомендовали исправленную версию от криптопро. В новых сборках openssl баг исправлен и алгоритмы гост работают без дополнительных патчей, но насчет поддержки TLS 1.2 сохраняется интрига.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC) Сообщений: 174
Сказал(а) «Спасибо»: 11 раз Поблагодарили: 1 раз в 1 постах
|
Используется openssl 1.1.0g-2ubuntu4.1 Хорошо пусть будет TLS 1.0. Возможно ли установка gostengy из сертифицированных deb-пакетов КриптоПРО?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,383 Сказал «Спасибо»: 53 раз Поблагодарили: 776 раз в 718 постах
|
Автор: chemtech Используется openssl 1.1.0g-2ubuntu4.1 Хорошо пусть будет TLS 1.0. Возможно ли установка gostengy из сертифицированных deb-пакетов КриптоПРО?
Попробуйте настроить работу с библиотекой libgostengy.so из пакета cprocsp-cpopenssl-110-gost. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 01.11.2011(UTC) Сообщений: 174
Сказал(а) «Спасибо»: 11 раз Поблагодарили: 1 раз в 1 постах
|
Автор: Александр Лавник Автор: chemtech Используется openssl 1.1.0g-2ubuntu4.1 Хорошо пусть будет TLS 1.0. Возможно ли установка gostengy из сертифицированных deb-пакетов КриптоПРО?
Попробуйте настроить работу с библиотекой libgostengy.so из пакета cprocsp-cpopenssl-110-gost. cprocsp-cpopenssl-110-gost по мойму не сертифицирован.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 3,383 Сказал «Спасибо»: 53 раз Поблагодарили: 776 раз в 718 постах
|
Автор: chemtech Автор: Александр Лавник Автор: chemtech Используется openssl 1.1.0g-2ubuntu4.1 Хорошо пусть будет TLS 1.0. Возможно ли установка gostengy из сертифицированных deb-пакетов КриптоПРО?
Попробуйте настроить работу с библиотекой libgostengy.so из пакета cprocsp-cpopenssl-110-gost. cprocsp-cpopenssl-110-gost по мойму не сертифицирован. См. ответ разработчика. |
|
|
|
|
Форум КриптоПро
»
Средства криптографической защиты информации
»
Другие продукты
»
Настройка nginx + КриптоПро CSP 4.0 R3 на ubuntu 18.04 для работы с сертификатами ГОСТ 2012
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close