logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline tom81  
#1 Оставлено : 12 октября 2019 г. 9:27:03(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

Добрый день! В Docker окружении поднят контейнер с установленным CryptoPro CSP 4 R2 и Nginx. В качестве backend используется сервер apache-tomcat. Периодически при работе через браузер Chromium GOST выпадает ошибка net::ERROR_FAILED, похожая проблема появляется и у Yandex.browser. Данная ошибка никогда не повторяется на IE 11 или EDGE. Привожу конфигурационные файлы и выводы команд:

Цитата:
[root@84ff04ed7068 /]# /opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine
(dynamic) Dynamic engine loading support
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)


Цитата:
[root@84ff04ed7068 /]# ldd /usr/sbin/nginx
linux-vdso.so.1 => (0x00007fffbb9a8000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f9d69882000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f9d69666000)
libcrypt.so.1 => /lib64/libcrypt.so.1 (0x00007f9d6942e000)
libpcre.so.1 => /lib64/libpcre.so.1 (0x00007f9d691cc000)
libssl.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libssl.so.1.1 (0x00007f9d68f5e000)
libcrypto.so.1.1 => /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so.1.1 (0x00007f9d68ad8000)
libz.so.1 => /lib64/libz.so.1 (0x00007f9d688c2000)
libc.so.6 => /lib64/libc.so.6 (0x00007f9d684f5000)
/lib64/ld-linux-x86-64.so.2 (0x0000562f4a17f000)
libfreebl3.so => /lib64/libfreebl3.so (0x00007f9d682f1000)


Цитата:
[root@84ff04ed7068 /]# rpm -qa | grep csp
lsb-cprocsp-base-4.0.9944-5.noarch
lsb-cprocsp-kc1-64-4.0.9944-5.x86_64
lsb-cprocsp-ca-certs-4.0.9944-5.noarch
lsb-cprocsp-kc2-64-4.0.9944-5.x86_64
cprocsp-cpopenssl-110-64-5.0.11216-5.x86_64
cprocsp-cpopenssl-110-gost-64-5.0.11216-5.x86_64
lsb-cprocsp-rdr-64-4.0.9944-5.x86_64
lsb-cprocsp-capilite-64-4.0.9944-5.x86_64
cprocsp-curl-64-4.0.9944-5.x86_64
cprocsp-cpopenssl-110-base-5.0.11216-5.noarch
cprocsp-cpopenssl-110-devel-5.0.11216-5.noarch


Прикладываю конфигурацию Nginx и скрин ошибки в консоле браузера
Offline tom81  
#2 Оставлено : 12 октября 2019 г. 9:31:54(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

К сожалению почему-то не получилось прикрепить файлы. Выкладываю конфигурационный файл Nginx сюда:


Цитата:

server {
listen 443 ssl proxy_protocol;
set_real_ip_from 0.0.0.0/0;
real_ip_header proxy_protocol;
server_name web-alfa.infoclinica.ru;

ssl_certificate /etc/nginx/letsencrypt/live/infoclinica.ru/fullchain.pem;
ssl_certificate_key /etc/nginx/letsencrypt/live/infoclinica.ru/privkey.pem;
ssl_certificate_key engine:gostengy:*.infoclinica.ru;
ssl_certificate /etc/pki/tls/certs/gost.infoclinica.ru.pem;
ssl_prefer_server_ciphers on;
error_page 403 /403web.html;

location /
{
# Отключил из-за https://support.sdsys.ru/issues/125506
set $result $access_cipher$access_ip;
if ($result = 00) { return 403; }
set $backend_servers nodeweb-alfa;
proxy_pass http://$backend_servers:8080;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-Ip $proxy_protocol_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-SSL-Cipher $ssl_cipher;
dav_methods PUT DELETE MKCOL COPY MOVE;
create_full_put_path on;

client_max_body_size 90m;
client_body_buffer_size 256k;
proxy_connect_timeout 2s;

proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;

add_header Last-Modified $date_gmt;
add_header Cache-Control 'no-store, no-cache, must-revalidate, proxy-revalidate, max-age=0';
}
location = /403web.html {
root /usr/share/nginx/html;
allow all;
}

}
Offline Дмитрий Пичулин  
#3 Оставлено : 12 октября 2019 г. 9:32:11(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 862
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 136 раз в 115 постах
Автор: tom81 Перейти к цитате
(gostengy) CryptoPro GostEngy ($Revision: 180423 $)

Мы gostengy обновляли: https://update.cryptopro.../support/nginx-gost/bin/

Текущий конфиг nginx, с большой вероятностью, всегда работает по зарубежным сюитам, так как при одновременной работе ГОСТ необходимо устанавливать в приоритет.

Отредактировано пользователем 12 октября 2019 г. 9:35:34(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
Андрей Писарев оставлено 12.10.2019(UTC)
Offline tom81  
#4 Оставлено : 12 октября 2019 г. 10:54:17(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

По поводу приоритета, мы его настроили, просто он не попал в backend-конфиг:

Цитата:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:AES128-SHA;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
#ssl_session_cache none;
ssl_session_timeout 5m;


По поводу обновления gostengy, в обновлении я вижу крипто про 5, у нас куплен 4 r2, как быть? Или пакеты с openssl и gostengy встанут вместе криптопро 4r2?
Offline tom81  
#5 Оставлено : 12 октября 2019 г. 12:12:09(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

Я попробовал установить новые версии пакетов, но возникает ошибка зависимостей:

Цитата:

+ rpm -ihv cprocsp-cpopenssl-110-base-5.0.11315-5.noarch.rpm cprocsp-cpopenssl-110-64-5.0.11315-5.x86_64.rpm cprocsp-cpopenssl-110-devel-5.0.11315-5.noarch.rpm cprocsp-cpopenssl-110-gost-64-5.0.11315-5.x86_64.rpm
error: Failed dependencies:
lsb-cprocsp-capilite-64 >= 5.0 is needed by cprocsp-cpopenssl-110-gost-64-5.0.11315-5.x86_64


Скорее всего поможет инсталяция CryptoPro CSP 5.
Offline Дмитрий Пичулин  
#6 Оставлено : 12 октября 2019 г. 13:17:30(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 862
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 136 раз в 115 постах
Автор: tom81 Перейти к цитате
По поводу приоритета, мы его настроили, просто он не попал в backend-конфиг:

Цитата:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers GOST2012-GOST8912-GOST8912:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:AES128-SHA;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
#ssl_session_cache none;
ssl_session_timeout 5m;


По поводу обновления gostengy, в обновлении я вижу крипто про 5, у нас куплен 4 r2, как быть? Или пакеты с openssl и gostengy встанут вместе криптопро 4r2?


Зависимости можно проигнорировать, будет работать с 4.

Если используете кэш, воркеров должно быть 1.

Если воркеров больше одного, отключите ssl кэш.

Знания в базе знаний, поддержка в техподдержке
Offline tom81  
#7 Оставлено : 13 октября 2019 г. 15:09:03(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

Поставил новую версию gostengy, пересобрал и отключил Кеш в конфигурационных файлах Nginx. Какие пакеты обновились посравнению с предыдущим стендом:


Цитата:

rpm -ihv --nodeps cprocsp-cpopenssl-110-base-5.0.11315-5.noarch.rpm cprocsp-cpopenssl-110-64-5.0.11315-5.x86_64.rpm \
cprocsp-cpopenssl-110-devel-5.0.11315-5.noarch.rpm cprocsp-cpopenssl-110-gost-64-5.0.11315-5.x86_64.rpm



Также, Вы поставляете со своими пакетами конфигурационный файл openssl.cnf. Если ранее, когда использовался gost_capi я его не наблюдал и мне приходилось править стандартный согласно инструкции, то сейчас в этом надобности нет? Используется Ваш, который находится по пути /opt/...?

Цитата:

[root@f88121ee8602 /]# find / -name openssl.cnf
/etc/pki/tls/openssl.cnf
/var/opt/cprocsp/cp-openssl-1.1.0/openssl.cnf




Ошибка осталась. Что еще можно посоветовать нам?

Повторюсь, ошибка вида:

Цитата:
ext-all.js:19 GET https://dev-web.infoclin...unt.js?_dc=1570968699815 net::ERR_FAILED

Отредактировано пользователем 13 октября 2019 г. 15:14:32(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#8 Оставлено : 14 октября 2019 г. 10:41:26(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 862
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 136 раз в 115 постах
Автор: tom81 Перейти к цитате
Повторюсь, ошибка вида:

Цитата:
ext-all.js:19 GET https://dev-web.infoclin...unt.js?_dc=1570968699815 net::ERR_FAILED

Действительно не похоже на ошибку в nginx + openssl + gostengy, возможно смешанный контент или ещё какие-то особенности браузера Chromium.

На последней версии ошибка воспроизводится?

Как нам воспроизвести?

Знания в базе знаний, поддержка в техподдержке
Offline tom81  
#9 Оставлено : 14 октября 2019 г. 20:18:35(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

Да, ошибка воспроизводится на этой версии. Вопрос о воспроизведении утрясаю с начальством. Я записал дебаг Nginx в момент ошибки, но файл большой для прикладывания к обращению, могу ли я куда-нибудь скинуть его Вам?
Offline Дмитрий Пичулин  
#10 Оставлено : 14 октября 2019 г. 22:25:10(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 862
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 136 раз в 115 постах
Автор: tom81 Перейти к цитате
Да, ошибка воспроизводится на этой версии. Вопрос о воспроизведении утрясаю с начальством. Я записал дебаг Nginx в момент ошибки, но файл большой для прикладывания к обращению, могу ли я куда-нибудь скинуть его Вам?

Например выкладывайте в любое облако под паролем и пишите в ЛС.

Для первого этапа достаточно бы было дампов трафика с проблемой.

Отредактировано пользователем 14 октября 2019 г. 22:26:18(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline tom81  
#11 Оставлено : 15 октября 2019 г. 9:18:27(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

Файл размещен по ссылке https://yadi.sk/d/YpaJoWeksWglkQ

Атрибуты доступа послал по email.

Отредактировано пользователем 15 октября 2019 г. 9:20:30(UTC)  | Причина: Не указана

Offline tom81  
#12 Оставлено : 15 октября 2019 г. 15:41:21(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

Провел тестирование на стандартном nginx + rsa cert. Ошибка не проявляет себя.

Цитата:

root@57221be076be:/# nginx -V
nginx version: nginx/1.16.1
built by gcc 8.3.0 (Debian 8.3.0-6)
built with OpenSSL 1.1.1c 28 May 2019
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fdebug-prefix-map=/data/builder/debuild/nginx-1.16.1/debian/debuild-base/nginx-1.16.1=. -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie'

Отредактировано пользователем 15 октября 2019 г. 15:44:29(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#13 Оставлено : 15 октября 2019 г. 16:11:24(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 862
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 136 раз в 115 постах
Автор: tom81 Перейти к цитате
Провел тестирование на стандартном nginx + rsa cert. Ошибка не проявляет себя.

С установленным CSP 5.0 в Chromium GOST 77.0.3865.102, после 10 обновлений страницы в логе ошибок нет.

Как воспроизвести ошибку?

Пришлите лучше видео. Пока вообще непонятно о чём вы говорите.



Знания в базе знаний, поддержка в техподдержке
Offline tom81  
#14 Оставлено : 17 октября 2019 г. 10:16:09(UTC)
tom81

Статус: Участник

Группы: Участники
Зарегистрирован: 25.10.2017(UTC)
Сообщений: 18
Российская Федерация
Откуда: Волгоград

Тестирую следующим образом - логинюсь в приложение, потом нажимаю выход, и так по кругу. После некоторых манипуляций с кластером, ошибка перестала воспроизводиться, наверное необходимо взять паузу в рассмотрении обращения.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.