Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

33 Страницы«<910111213>»
Опции
К последнему сообщению К первому непрочитанному
Offline roysbike  
#201 Оставлено : 10 октября 2016 г. 16:19:51(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
**** Server unexpectedly disconnected

Как говорилось ранее, у нас есть ветка на форуме с описанием установки nginx + gost_capi по шагам: http://www.cryptopro.ru/...ts&m=57216#post57216

Пробовали её на чистую установку? Просто мы не видим у вас никакой специфики, которая может приводить к подобным ошибкам.

Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят. Файл с помощью openssl подписывается, модуль загуржен, nginx настроен корректно. Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx?

Отредактировано пользователем 10 октября 2016 г. 16:20:41(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#202 Оставлено : 10 октября 2016 г. 16:31:54(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: roysbike Перейти к цитате
Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят.

4 часа назад вы упирались вот в это:

Автор: roysbike Перейти к цитате
При старте nginx ругается на

Цитата:
NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)


Просим помощи, уже неделю не может понять, что делаем не так

Как нам удалось понять, в нарушение инструкции вы пользовались разными пользователями при старте и работе nginx. Возможно вы что-то ещё упустили из виду.

На текущий момент, если в логах nginx и gost_capi более нет ошибок, которые бы могли пролить свет, то помочь вам будет затруднительно.

Автор: roysbike Перейти к цитате
Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx?

Если у вас есть рабочий серверный сертификат (аутентификация сервера) и закрытый к нему ключ, для работы на этом сертификате дополнительно ничего не нужно.

Знания в базе знаний, поддержка в техподдержке
Offline roysbike  
#203 Оставлено : 10 октября 2016 г. 16:36:08(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят.

4 часа назад вы упирались вот в это:

Автор: roysbike Перейти к цитате
При старте nginx ругается на

Цитата:
NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)


Просим помощи, уже неделю не может понять, что делаем не так

Как нам удалось понять, в нарушение инструкции вы пользовались разными пользователями при старте и работе nginx. Возможно вы что-то ещё упустили из виду.

На текущий момент, если в логах nginx и gost_capi более нет ошибок, которые бы могли пролить свет, то помочь вам будет затруднительно.

Автор: roysbike Перейти к цитате
Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx?

Если у вас есть рабочий серверный сертификат (аутентификация сервера) и закрытый к нему ключ, для работы на этом сертификате дополнительно ничего не нужно.



В логах есть ошибки следующие.
Цитата:

2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443


Мы используем proxy_pass , может ли это как-то влиять?

Offline Дмитрий Пичулин  
#204 Оставлено : 10 октября 2016 г. 16:43:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: roysbike Перейти к цитате
В логах есть ошибки следующие.
Цитата:

2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443


Мы используем proxy_pass , может ли это как-то влиять?


Пришлите nginx.conf и openssl version
Знания в базе знаний, поддержка в техподдержке
Offline roysbike  
#205 Оставлено : 10 октября 2016 г. 16:45:54(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
В логах есть ошибки следующие.
Цитата:

2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443


Мы используем proxy_pass , может ли это как-то влиять?


Пришлите nginx.conf и openssl version


Цитата:

cat /etc/nginx/nginx.conf

user nginx;
worker_processes 1;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;


events {
worker_connections 1024;
}


http {
include /etc/nginx/mime.types;
default_type application/octet-stream;

log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';

access_log /var/log/nginx/access.log main;

sendfile on;
#tcp_nopush on;

keepalive_timeout 65;

#gzip on;
proxy_buffer_size 64k;
proxy_buffers 4 64k;
proxy_busy_buffers_size 64k;

include /etc/nginx/conf.d/*.conf;
}



Цитата:

openssl version
OpenSSL 1.0.1e 11 Feb 2013

Offline Дмитрий Пичулин  
#206 Оставлено : 10 октября 2016 г. 16:49:55(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: roysbike Перейти к цитате
openssl version
OpenSSL 1.0.1e 11 Feb 2013

Версия openssl старовата, ошибки "SSL_CERT_DUP:library bug", могут быть банально связаны с этим: https://www.cryptopro.ru...ts&m=56295#post56295

И пришлите конфиг nginx, где вы определяете целевой сервер.

Знания в базе знаний, поддержка в техподдержке
Offline roysbike  
#207 Оставлено : 10 октября 2016 г. 17:11:25(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
openssl version
OpenSSL 1.0.1e 11 Feb 2013

Версия openssl старовата, ошибки "SSL_CERT_DUP:library bug", могут быть банально связаны с этим: https://www.cryptopro.ru...ts&m=56295#post56295

И пришлите конфиг nginx, где вы определяете целевой сервер.



openssl обновили
Цитата:
OpenSSL 1.0.1t 3 May 2016


Цитата:

server {
listen 443 ssl;
server_name gost.vsopen.ru www.gost.vsopen.ru;
error_log /var/log/nginx/gost.vsopne.ru.log debug;
ssl_certificate /etc/nginx/ssl/cprocsp/vsopen.ru.cer;
ssl_certificate_key engine:gost_capi:*.vsopen.ru;
ssl_session_timeout 5m;
ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89;
ssl_prefer_server_ciphers on;

proxy_set_header X-Real-IP $remote_addr;
error_page 502 400 /breakdown.html;

root /var/www/vsopen-static-front-new;
index index.html;



}

Offline Дмитрий Пичулин  
#208 Оставлено : 10 октября 2016 г. 17:17:09(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: roysbike Перейти к цитате
server {
...
}

Никаких подсказок и специфик нет, может дело в сертификате, пришлите на pdn@cryptopro.ru или в ЛС.

Знания в базе знаний, поддержка в техподдержке
Offline roysbike  
#209 Оставлено : 10 октября 2016 г. 17:36:20(UTC)
roysbike

Статус: Участник

Группы: Участники
Зарегистрирован: 07.10.2016(UTC)
Сообщений: 16
Российская Федерация
Откуда: Белгород

Автор: pd Перейти к цитате
Автор: roysbike Перейти к цитате
server {
...
}

Никаких подсказок и специфик нет, может дело в сертификате, пришлите на pdn@cryptopro.ru или в ЛС.



Заработало на Firefox . В IE нет, разбираемся. Видимо дело было в openssl. Спасибо за помощь
Offline Дмитрий Пичулин  
#210 Оставлено : 20 октября 2016 г. 13:26:08(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Мы движемся в сторону поддержки TLS 1.2

К сожалению, не удалось обойтись без патчей в openssl: https://github.com/deemr...ag/OpenSSL_1_0_2j-gost_1

Обновился gost_capi

Обновился nginx-gost:
  • Добавлена поддержка TLS 1.2 при аутентификации клиентов по ГОСТ сертификатам
  • Теперь в ГОСТ конфигурации можно использовать "ssl_protocols TLSv1 TLSv1.1 TLSv1.2;"


Знания в базе знаний, поддержка в техподдержке
Offline plint  
#211 Оставлено : 20 октября 2016 г. 13:27:27(UTC)
plint

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.10.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: Урал

Сказал(а) «Спасибо»: 1 раз
Настроил на тестовой локальной виртуалке - всё работает. Перенёс на боевую систему - не работает.
В логах nginx:
Код:
SSL_do_handshake() failed (SSL: error:8006A063:lib(128):CAPI_INIT:cant create hash object) while SSL handshaking


Обе виртуалки максимально идентичны.
Как оказалось проблема в lsb-cprocsp-kc1, который был установлен позже чем kc2.

Вывод с боевой виртуалке, где не работало:

Код:
$ sudo /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn                                                                                                                                
CSP (Type:80) v4.0.9006 KC1 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 13139315
\\.\HDIMAGE\xml-test.example.ru
OK.
Total: SYS: 0,010 sec USR: 0,030 sec UTC: 0,130 sec
[ErrorCode: 0x00000000]


После переустановки lsb-cprocsp-kc2

Код:
$ sudo /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -verifycontext -fqcn
CSP (Type:80) v4.0.9006 KC2 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 18773187
\\.\HDIMAGE\xml-test.example.ru
OK.
Total: SYS: 0,000 sec USR: 0,000 sec UTC: 0,110 sec
[ErrorCode: 0x00000000]


И всё работает.
Offline vitaliy18  
#212 Оставлено : 23 января 2017 г. 18:48:06(UTC)
vitaliy18

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.01.2017(UTC)
Сообщений: 9

Сказал(а) «Спасибо»: 1 раз
Приветствую.
Можно ли gost_capi установить на cprocsp 3.9?
Offline ElenaS  
#213 Оставлено : 23 января 2017 г. 18:53:14(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: vitaliy18 Перейти к цитате
Приветствую.
Можно ли gost_capi установить на cprocsp 3.9?


Добрый день! Да, с КриптоПро CSP 3.9 gost_capi работает.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Дмитрий Пичулин  
#214 Оставлено : 31 января 2017 г. 18:26:33(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Обновился nginx-gost:
  • Включает обновление nginx, openssl, pcre, zlib


Знания в базе знаний, поддержка в техподдержке
Offline wolfer  
#215 Оставлено : 21 февраля 2017 г. 19:04:06(UTC)
wolfer

Статус: Участник

Группы: Участники
Зарегистрирован: 17.06.2016(UTC)
Сообщений: 14
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Либо без пароля, либо кэшировать пароль на время работы nginx.


Хотим использовать engine для работы через openssl из консоли, например

Цитата:
echo -n 123 | openssl dgst -engine gost_capi -keyform engine -sign "АРМ"


Но запрашивает пин. Подскажите, можно как то передавать пин параметром engine'у?
Offline Дмитрий Пичулин  
#216 Оставлено : 21 февраля 2017 г. 19:10:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: wolfer Перейти к цитате
Но запрашивает пин. Подскажите, можно как то передавать пин параметром engine'у?

Ввод ПИН лежит в зоне ответственности CSP.

Поэтому ответ тот же: либо без пароля, либо кэшировать пароль на время работы приложения.

Знания в базе знаний, поддержка в техподдержке
Offline wolfer  
#217 Оставлено : 22 февраля 2017 г. 16:05:34(UTC)
wolfer

Статус: Участник

Группы: Участники
Зарегистрирован: 17.06.2016(UTC)
Сообщений: 14
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
кэшировать пароль


не подскажите команду кэширования?
Offline Дмитрий Пичулин  
#218 Оставлено : 22 февраля 2017 г. 16:32:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,200
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 213 раз в 183 постах
Автор: wolfer Перейти к цитате
Автор: pd Перейти к цитате
кэшировать пароль


не подскажите команду кэширования?

Сохранение паролей для контейнеров на Linux/UNIX
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
wolfer оставлено 22.02.2017(UTC)
Offline wolfer  
#219 Оставлено : 22 февраля 2017 г. 16:47:31(UTC)
wolfer

Статус: Участник

Группы: Участники
Зарегистрирован: 17.06.2016(UTC)
Сообщений: 14
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Сохранение паролей для контейнеров на Linux/UNIX


нет эффекта. Пароль все равно спрашивает.
Кстати результата выполнения "cpconfig -ini ...." не вижу в /etc/opt/cprocsp/config64.ini. Он же туда по плану должен прописываться?
Если прописать этот ключ руками

Цитата:

csptest -keys -cont '\\.\HDIMAGE\RaUser-eb59a088-a2b2-4791-90e1-3a49381f4bf3' -check
An error occurred in running the program.
/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/samples/support/cplevel.c:419:Cannot find default provider.

Error number 0x80090017 (2148073495).
Тип поставщика не определен.
An error occurred in running the program.
/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/samples/support/getcspparam.c:25:Can not get CSP param: AcquireContext failed.
Error number 0x80090017 (2148073495).
Тип поставщика не определен.
An error occurred in running the program.
/dailybuildsbranches/CSP_3_9/CSPbuild/CSP/samples/csptest/ctkey.c:948:AcquireContext("\\.\HDIMAGE\RaUser-eb59a088-a2b2-4791-90e1-3a49381f4bf3")
Error number 0x80090017 (2148073495).
Тип поставщика не определен.
Total: SYS: 0.000 sec USR: 0.000 sec UTC: 0.010 sec
[ErrorCode: 0x80090017]
Offline wolfer  
#220 Оставлено : 22 февраля 2017 г. 17:02:32(UTC)
wolfer

Статус: Участник

Группы: Участники
Зарегистрирован: 17.06.2016(UTC)
Сообщений: 14
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
определил, что "cpconfig -ini ...." пишет в /var/opt/cprocsp/users/sfedosov/local.ini. Там запись появляется, но пароль все ещё спрашивает
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
33 Страницы«<910111213>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.