Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16  Откуда: Белгород
|
Автор: pd  Автор: roysbike **** Server unexpectedly disconnected
Как говорилось ранее, у нас есть ветка на форуме с описанием установки nginx + gost_capi по шагам: http://www.cryptopro.ru/...ts&m=57216#post57216Пробовали её на чистую установку? Просто мы не видим у вас никакой специфики, которая может приводить к подобным ошибкам. Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят. Файл с помощью openssl подписывается, модуль загуржен, nginx настроен корректно. Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx? Отредактировано пользователем 10 октября 2016 г. 16:20:41(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 416 раз в 308 постах
|
Автор: roysbike Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят. 4 часа назад вы упирались вот в это: Автор: roysbike При старте nginx ругается на Цитата:NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Просим помощи, уже неделю не может понять, что делаем не так Как нам удалось понять, в нарушение инструкции вы пользовались разными пользователями при старте и работе nginx. Возможно вы что-то ещё упустили из виду. На текущий момент, если в логах nginx и gost_capi более нет ошибок, которые бы могли пролить свет, то помочь вам будет затруднительно. Автор: roysbike Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx? Если у вас есть рабочий серверный сертификат (аутентификация сервера) и закрытый к нему ключ, для работы на этом сертификате дополнительно ничего не нужно. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike Несколько раз ставили снуля, на чистую. Результат один, не могу понять, где ошибка. Все тесты которых описаны в документации, проходят. 4 часа назад вы упирались вот в это: Автор: roysbike При старте nginx ругается на Цитата:NGINE_load_private_key("vsopen.ru") failed (SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key) Просим помощи, уже неделю не может понять, что делаем не так Как нам удалось понять, в нарушение инструкции вы пользовались разными пользователями при старте и работе nginx. Возможно вы что-то ещё упустили из виду. На текущий момент, если в логах nginx и gost_capi более нет ошибок, которые бы могли пролить свет, то помочь вам будет затруднительно. Автор: roysbike Но у меня есть впорос. Нам уже выдали сертификат vsopen.ru.cer . Нужно ли генерить на самом сервере сертификат для nginx? Если у вас есть рабочий серверный сертификат (аутентификация сервера) и закрытый к нему ключ, для работы на этом сертификате дополнительно ничего не нужно. В логах есть ошибки следующие. Цитата:
2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443
Мы используем proxy_pass , может ли это как-то влиять?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 416 раз в 308 постах
|
Автор: roysbike В логах есть ошибки следующие. Цитата:
2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443
Мы используем proxy_pass , может ли это как-то влиять? Пришлите nginx.conf и openssl version |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike В логах есть ошибки следующие. Цитата:
2016/10/10 16:16:49 [crit] 24711#24711: *57917 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:16:55 [crit] 24711#24711: *58108 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:17:00 [crit] 24711#24711: *58251 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug) while SSL handshaking, client: 194.190.30.74, server: 0.0.0.0:443
2016/10/10 16:24:23 [crit] 24711#24711: *73239 SSL_do_handshake() failed (SSL: error:140DD112:SSL routines:SSL_CERT_DUP:library bug error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher) while SSL handshaking, client: 66.102.9.13, server: 0.0.0.0:443
Мы используем proxy_pass , может ли это как-то влиять? Пришлите nginx.conf и openssl version Цитата:
cat /etc/nginx/nginx.conf
user nginx;
worker_processes 1;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
#tcp_nopush on;
keepalive_timeout 65;
#gzip on;
proxy_buffer_size 64k;
proxy_buffers 4 64k;
proxy_busy_buffers_size 64k;
include /etc/nginx/conf.d/*.conf;
}
Цитата:
openssl version
OpenSSL 1.0.1e 11 Feb 2013
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 416 раз в 308 постах
|
Автор: roysbike openssl version
OpenSSL 1.0.1e 11 Feb 2013 Версия openssl старовата, ошибки "SSL_CERT_DUP:library bug", могут быть банально связаны с этим: https://www.cryptopro.ru...ts&m=56295#post56295И пришлите конфиг nginx, где вы определяете целевой сервер. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike openssl version
OpenSSL 1.0.1e 11 Feb 2013 Версия openssl старовата, ошибки "SSL_CERT_DUP:library bug", могут быть банально связаны с этим: https://www.cryptopro.ru...ts&m=56295#post56295И пришлите конфиг nginx, где вы определяете целевой сервер. openssl обновили Цитата:OpenSSL 1.0.1t 3 May 2016 Цитата:server { listen 443 ssl; server_name gost.vsopen.ru www.gost.vsopen.ru; error_log /var/log/nginx/gost.vsopne.ru.log debug; ssl_certificate /etc/nginx/ssl/cprocsp/vsopen.ru.cer; ssl_certificate_key engine:gost_capi:*.vsopen.ru; ssl_session_timeout 5m; ssl_protocols TLSv1; ssl_ciphers HIGH:MEDIUM:+GOST2001-GOST89; ssl_prefer_server_ciphers on; proxy_set_header X-Real-IP $remote_addr; error_page 502 400 /breakdown.html; root /var/www/vsopen-static-front-new; index index.html; }
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 416 раз в 308 постах
|
Автор: roysbike server {
...
} Никаких подсказок и специфик нет, может дело в сертификате, пришлите на pdn@cryptopro.ru или в ЛС. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 07.10.2016(UTC) Сообщений: 16 Откуда: Белгород
|
Автор: pd Автор: roysbike server {
...
} Никаких подсказок и специфик нет, может дело в сертификате, пришлите на pdn@cryptopro.ru или в ЛС. Заработало на Firefox . В IE нет, разбираемся. Видимо дело было в openssl. Спасибо за помощь
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,449
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 416 раз в 308 постах
|
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
