logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

28 Страницы«<2425262728>
Опции
К последнему сообщению К первому непрочитанному
Offline ferrat  
#501 Оставлено : 8 апреля 2019 г. 12:02:04(UTC)
ferrat

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.04.2019(UTC)
Сообщений: 6
Мексика

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: dmitry lavrov Перейти к цитате
Уже был установлен параметр ssl_session_timeout 5m;
Добавил ssl_session_cache off;

Будем мониторить, если ошибка повторится - обязательно сообщу.
Спасибо!


Автор: Дмитрий Пичулин Перейти к цитате
UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем.

Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/




Добрый день.
Подскажите пожалуйста, возможно ли установить данное обновление на CSP 4.0 R4?
У меня при попытке обновления cprocsp-cpopenssl-110-gost-64 с 5.0.11216-5 на 5.0.11315-5 требует lsb-cprocsp-capilite-64 не ниже 5 версии.

Код:

ii  cprocsp-cpopenssl-110-64              5.0.11216-5                       amd64        OpenSSL-110. Build 11216.
ii  cprocsp-cpopenssl-110-base            5.0.11216-5                       all          Openssl-110 common Build 11216.
ii  cprocsp-cpopenssl-110-devel           5.0.11216-5                       all          Openssl-110 devel Build 11216.
ii  cprocsp-cpopenssl-110-gost-64         5.0.11216-5                       amd64        OpenSSL-110 gostengy engine. Build 11216.
ii  cprocsp-curl-64                       4.0.9963-5                        amd64        CryptoPro Curl shared library and binaris. Build 9963.
ii  lsb-cprocsp-base                      4.0.9963-5                        all          CryptoPro CSP directories and scripts. Build 9963.
ii  lsb-cprocsp-ca-certs                  4.0.9963-5                        all          CA certificates.  Build 9963.
ii  lsb-cprocsp-capilite-64               4.0.9963-5                        amd64        CryptoAPI lite. Build 9963.
ii  lsb-cprocsp-kc1-64                    4.0.9963-5                        amd64        CryptoPro CSP KC1. Build 9963.
ii  lsb-cprocsp-kc2-64                    4.0.9963-5                        amd64        CryptoPro CSP KC2. Build 9963.
ii  lsb-cprocsp-rdr-64                    4.0.9963-5                        amd64        CryptoPro CSP readers. Build 9963.



Offline Дмитрий Пичулин  
#502 Оставлено : 8 апреля 2019 г. 12:12:01(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: ferrat Перейти к цитате
У меня при попытке обновления cprocsp-cpopenssl-110-gost-64 с 5.0.11216-5 на 5.0.11315-5 требует lsb-cprocsp-capilite-64 не ниже 5 версии.

Просто игнорируйте это с помощью опции --ignore-depends.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
ferrat оставлено 08.04.2019(UTC)
Offline ferrat  
#503 Оставлено : 8 апреля 2019 г. 17:32:33(UTC)
ferrat

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.04.2019(UTC)
Сообщений: 6
Мексика

Сказал(а) «Спасибо»: 1 раз
Еще раз скажу спасибо за помощь постом выше. Однако запустив нагрузку нагрузку на порт стал получать ошибки
Код:
[crit] 18609#18609: *103066 SSL_do_handshake() failed (SSL: error:8000601C:lib(128):gng_hash_init_common:CryptCreateHash error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking


Прочитал вот этот пост
https://www.cryptopro.ru...ts&m=90930#post90930
но он мне не помог так как у меня КС2
Код:
CSP (Type:80) v4.0.9019 KC2 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:SSSE3.
AcquireContext: OK. HCRYPTPROV: 31868211
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC2 CSP


Секция nginx
Код:
    # HTTPS server
    server {
        listen       443 ssl;
        #server_name localhost;
        #access_log  logs/access.log;
        ssl_certificate      /etc/nginx/cert/certname;
        ssl_certificate_key  engine:gostengy:c:le-000000-00000-0000-00000-0000000;
        ssl_session_cache    shared:SSL:3m;
        ssl_session_timeout  3m;
        #ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
        ssl_prefer_server_ciphers  on;
        location / {
                        proxy_pass http://192.168.0.100:222;
                        proxy_set_header Host $host;
                        proxy_http_version 1.1;
                        #proxy_set_header Upgrade $http_upgrade;
                        proxy_set_header x-real-ip $remote_addr;
                        proxy_set_header Connection "upgrade";
        }


    }


Версии библиотек
Код:
ii  cprocsp-cpopenssl-110-64              5.0.11315-5                       amd64        OpenSSL-110. Build 11315.
ii  cprocsp-cpopenssl-110-base            5.0.11315-5                       all          Openssl-110 common Build 11315.
ii  cprocsp-cpopenssl-110-devel           5.0.11315-5                       all          Openssl-110 devel Build 11315.
ii  cprocsp-cpopenssl-110-gost-64         5.0.11315-5                       amd64        OpenSSL-110 gostengy engine. Build 11315.
ii  cprocsp-cpopenssl-64                  5.0.11315-5                       amd64        OpenSSL. Build 11315.
ii  cprocsp-cpopenssl-base                5.0.11315-5                       all          Openssl common Build 11315.
ii  cprocsp-cpopenssl-devel               5.0.11315-5                       all          Openssl devel Build 11315.
ii  cprocsp-cpopenssl-gost-64             5.0.11315-5                       amd64        OpenSSL capi_gost engine. Build 11315.
ii  cprocsp-curl-64                       4.0.9963-5                        amd64        CryptoPro Curl shared library and binaris. Build 9963.
ii  lsb-cprocsp-base                      4.0.9963-5                        all          CryptoPro CSP directories and scripts. Build 9963.
ii  lsb-cprocsp-ca-certs                  4.0.9963-5                        all          CA certificates.  Build 9963.
ii  lsb-cprocsp-capilite-64               4.0.9963-5                        amd64        CryptoAPI lite. Build 9963.
ii  lsb-cprocsp-kc1-64                    4.0.9963-5                        amd64        CryptoPro CSP KC1. Build 9963.
ii  lsb-cprocsp-kc2-64                    4.0.9963-5                        amd64        CryptoPro CSP KC2. Build 9963.
ii  lsb-cprocsp-rdr-64                    4.0.9963-5                        amd64        CryptoPro CSP readers. Build 9963.

Отредактировано пользователем 8 апреля 2019 г. 17:35:24(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#504 Оставлено : 8 апреля 2019 г. 18:29:33(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: ferrat Перейти к цитате
Однако запустив нагрузку нагрузку на порт стал получать ошибки
Код:
[crit] 18609#18609: *103066 SSL_do_handshake() failed (SSL: error:8000601C:lib(128):gng_hash_init_common:CryptCreateHash error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking

О какой нагрузке идёт речь?

Уверены, что у вас КС2?

Возникает ошибка при первом обращении или в процессе работы?

Возникает однократно (не влияет на работу) или постоянно (всё останавливается спустя какое-то время)?


Знания в базе знаний, поддержка в техподдержке
Offline ferrat  
#505 Оставлено : 9 апреля 2019 г. 12:13:10(UTC)
ferrat

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.04.2019(UTC)
Сообщений: 6
Мексика

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: ferrat Перейти к цитате
Однако запустив нагрузку нагрузку на порт стал получать ошибки
Код:
[crit] 18609#18609: *103066 SSL_do_handshake() failed (SSL: error:8000601C:lib(128):gng_hash_init_common:CryptCreateHash error:14125044:SSL routines:ssl3_digest_cached_records:internal error) while SSL handshaking

О какой нагрузке идёт речь?

Уверены, что у вас КС2?

Возникает ошибка при первом обращении или в процессе работы?

Возникает однократно (не влияет на работу) или постоянно (всё останавливается спустя какое-то время)?




Я получил данные о версии в сообщении выше командой
Код:
/opt/cprocsp/bin/amd64/csptest -keyset -verifycontext


Собственно удалось получить эту ошибку и без нагрузки при первичном входе на сайт, handshake произошел в итоге, но первый вход был замедлен секунды на 2.
Подскажите куда дальше смотреть?


Т.е. как это произошло. Я зашел через IE 11, долго ждал стартовой страницы. Оно появилось секунды через 2-3, затем в лог и увидел ошибки (6 строк указанных выше).

Отредактировано пользователем 9 апреля 2019 г. 12:19:57(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#506 Оставлено : 9 апреля 2019 г. 12:24:04(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: ferrat Перейти к цитате
Собственно удалось получить эту ошибку и без нагрузки при первичном входе на сайт, handshake произошел в итоге, но первый вход был замедлен секунды на 2.
Подскажите куда дальше смотреть?


Т.е. как это произошло. Я зашел через IE 11, долго ждал стартовой страницы. Оно появилось секунды через 2-3, затем в лог и увидел ошибки (6 строк указанных выше).

Что-то здесь не сходится, при такой ошибке установить соединение, хоть и спустя 2-3 секунды никак невозможно.

Предлагается начать сначала, со скриптами из этой темы и на чистой системе: https://www.cryptopro.ru...aspx?g=posts&t=12505

Если ошибки останутся -- пишите.
Знания в базе знаний, поддержка в техподдержке
Offline ferrat  
#507 Оставлено : 9 апреля 2019 г. 12:36:18(UTC)
ferrat

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.04.2019(UTC)
Сообщений: 6
Мексика

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: ferrat Перейти к цитате
Собственно удалось получить эту ошибку и без нагрузки при первичном входе на сайт, handshake произошел в итоге, но первый вход был замедлен секунды на 2.
Подскажите куда дальше смотреть?


Т.е. как это произошло. Я зашел через IE 11, долго ждал стартовой страницы. Оно появилось секунды через 2-3, затем в лог и увидел ошибки (6 строк указанных выше).

Что-то здесь не сходится, при такой ошибке установить соединение, хоть и спустя 2-3 секунды никак невозможно.

Предлагается начать сначала, со скриптами из этой темы и на чистой системе: https://www.cryptopro.ru...aspx?g=posts&t=12505

Если ошибки останутся -- пишите.


Собственно по этой инструкции я и ставил, правда не на совсем чистую систему.
Удалось понять как вызвать эту ошибку:
если я делаю nginx -s reload то получаю невозможно отобразить страницу. И именно в этот момент эти ошибки вылетают в лог.
Помогает лишь полный перезапуск nginx -s stop.
Буду пробовать переустановить на чистую, если еще появится. Спасибо
Offline Дмитрий Пичулин  
#508 Оставлено : 9 апреля 2019 г. 12:38:41(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: ferrat Перейти к цитате
если я делаю nginx -s reload то получаю невозможно отобразить страницу. И именно в этот момент эти ошибки вылетают в лог.
Помогает лишь полный перезапуск nginx -s stop.

Мы не тестировали функционал "reload", могут быть ошибки, пользуйтесь полным перезапуском.

Знания в базе знаний, поддержка в техподдержке
Offline D.Vinci  
#509 Оставлено : 10 апреля 2019 г. 16:37:42(UTC)
D.Vinci

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 6

Сказал(а) «Спасибо»: 1 раз
Люди добрые подскажите пожалуйста имеется ли возможность при использовании gostengy, Обратится к контейнеру с ключем средствами php.

Указав имя контейнера ? что то вроде:

openssl_pkey_get_private("c:1234567");

openssl_pkey_get_private("engine:gostengy:c:1234567");



Вообще каким либо способом можно дернуть pkey из контейнера, или возможно только через libphpcades.so или экспортом ключа из контейнера.

Отредактировано пользователем 10 апреля 2019 г. 16:58:36(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#510 Оставлено : 10 апреля 2019 г. 16:40:26(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: D.Vinci Перейти к цитате
Люди добрые подскажите пожалуйста имеется ли возможность при использовании gostengy, Обратится к контейнеру с ключем средствами php.

Указав имя контейнера ? что то вроде:

openssl_pkey_get_private("c:1234567");

openssl_pkey_get_private("engine:gostengy:c:1234567");

Нет.

Знания в базе знаний, поддержка в техподдержке
Offline D.Vinci  
#511 Оставлено : 10 апреля 2019 г. 16:59:52(UTC)
D.Vinci

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.04.2019(UTC)
Сообщений: 6

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: D.Vinci Перейти к цитате
Люди добрые подскажите пожалуйста имеется ли возможность при использовании gostengy, Обратится к контейнеру с ключем средствами php.

Указав имя контейнера ? что то вроде:

openssl_pkey_get_private("c:1234567");

openssl_pkey_get_private("engine:gostengy:c:1234567");

Нет.



Дмитрий подскажите пожалуйста это возможно только через libphpcades.so ? Или мне проще экспортировать ключ из контейнера ? Правда при этом будет страдать безопасность (((
Offline Дмитрий Пичулин  
#512 Оставлено : 10 апреля 2019 г. 17:01:16(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: D.Vinci Перейти к цитате
Дмитрий подскажите пожалуйста это возможно только через libphpcades.so ? Или мне проще экспортировать ключ из контейнера ? Правда при этом будет страдать безопасность (((

Для ответа на ваши вопросы следует создать отдельную тему.

Знания в базе знаний, поддержка в техподдержке
Offline tarkhil  
#513 Оставлено : 10 апреля 2019 г. 23:00:33(UTC)
tarkhil

Статус: Активный участник

Группы: Участники
Зарегистрирован: 19.12.2014(UTC)
Сообщений: 33
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
А есть ли сборки под FreeBSD?
Offline Дмитрий Пичулин  
#514 Оставлено : 10 апреля 2019 г. 23:08:23(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: tarkhil Перейти к цитате
А есть ли сборки под FreeBSD?

Нет.
Знания в базе знаний, поддержка в техподдержке
Offline ferrat  
#515 Оставлено : 16 апреля 2019 г. 11:07:02(UTC)
ferrat

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.04.2019(UTC)
Сообщений: 6
Мексика

Сказал(а) «Спасибо»: 1 раз
Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы

Код:
peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking


Иногда без (104: Connection reset by peer)
Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих
Конфиг прикрепил ниже. Некоторые параметры кручу уже не первый раз так что это самый последний конфиг на котором пробую/

Код:
user  user;
#user  nobody;
worker_processes  1;
worker_rlimit_nofile 200000;
events {
    worker_connections  20000;
}


http {
    include       mime.types;
    default_type  application/octet-stream;
    #proxy_cache all;
    open_file_cache max=200000 inactive=20s;
    open_file_cache_valid 30s;
    open_file_cache_min_uses 2;
    open_file_cache_errors on;
    access_log off;
    #expires 1d;
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 30;
    keepalive_requests 1000;
    reset_timedout_connection on;
    client_body_timeout 20;
    send_timeout 20;
    proxy_buffer_size 32k;
    proxy_buffers 64 32k;

	
	server {
        listen       450 ssl;
        #server_name localhost;
        #access_log  logs/access.log  main;
        ssl_certificate      /etc/nginx/cert/cert.pem;
        ssl_certificate_key  engine:gostengy:c:le-000000-afe9-00-84a6-0000000;
        ssl_session_cache    shared:SSL:10m;
        #ssl_session_cache off;
        ssl_session_timeout  1h;
        #ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers GOST2012-GOST8912-GOST8912:GOST2001-GOST89-GOST89:HIGH;
        ssl_prefer_server_ciphers  off;
        location / {
                        proxy_connect_timeout       30s;
                        proxy_send_timeout          30s;
                        proxy_read_timeout          30s;
                        send_timeout                30s;
                        #proxy_pass http://192.168.0.111:000;
                        proxy_ssl_server_name on;
                        proxy_set_header Host $host;
                        proxy_http_version 1.1;
                        proxy_set_header Upgrade $http_upgrade;
                        proxy_set_header x-real-ip $remote_addr;
                        #proxy_set_header x-arr-ssl "1";
                        proxy_set_header Connection "upgrade";
        }
	}
	
	
}
Offline Дмитрий Пичулин  
#516 Оставлено : 16 апреля 2019 г. 12:13:44(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: ferrat Перейти к цитате
Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы

Код:
peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking


Иногда без (104: Connection reset by peer)
Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих

В чём проявляется данная ошибка на стороне клиента? Или это только в логе сервера вас беспокоит?

Может быть это не ошибка, а предварительное подключение, которое потом переходит на ГОСТ, подробнее: https://github.com/deemr...mium-gost#принцип-работы

Знания в базе знаний, поддержка в техподдержке
Offline ferrat  
#517 Оставлено : 16 апреля 2019 г. 15:22:56(UTC)
ferrat

Статус: Новичок

Группы: Участники
Зарегистрирован: 08.04.2019(UTC)
Сообщений: 6
Мексика

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: ferrat Перейти к цитате
Удалось победить почти все ошибки, но одна остается постоянно и проявляется всегда, но замечают ее единицы

Код:
peer closed connection in SSL handshake (104: Connection reset by peer) while SSL handshaking


Иногда без (104: Connection reset by peer)
Гонял по всем форумам с этой ошибкой, но проблему решить не удалось. Она сначала проявляется у одного клиента, а через неопределенное время (иногда 1 день, иногда пара часов) у многих

В чём проявляется данная ошибка на стороне клиента? Или это только в логе сервера вас беспокоит?

Может быть это не ошибка, а предварительное подключение, которое потом переходит на ГОСТ, подробнее: https://github.com/deemr...mium-gost#принцип-работы



Там самописный софт и получается, что при такой ошибке на их стороне: Authentication failed because the remote party has closed the transport stream (судя по всему это C#)
Пока я правлю конфиги вслепую, основываясь на обрывках фраз, сказанных на форумах. Улучшило ситуацию увеличение ssl буфера ssl_buffer_size до 32k
Может быть есть, что я упустил.
Offline Дмитрий Пичулин  
#518 Оставлено : 16 апреля 2019 г. 15:44:53(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: ferrat Перейти к цитате
Там самописный софт и получается, что при такой ошибке на их стороне: Authentication failed because the remote party has closed the transport stream (судя по всему это C#)
Пока я правлю конфиги вслепую, основываясь на обрывках фраз, сказанных на форумах. Улучшило ситуацию увеличение ssl буфера ssl_buffer_size до 32k
Может быть есть, что я упустил.

В таких случая сначала добиваются стабильной работы безотносительно ГОСТ, потом включают ГОСТ. Проблем с ГОСТом не видим, удачи.

Знания в базе знаний, поддержка в техподдержке
Offline Андрей Степанов  
#519 Оставлено : 6 мая 2019 г. 11:23:46(UTC)
Андрей Степанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 5
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: dmitry lavrov Перейти к цитате
Уже был установлен параметр ssl_session_timeout 5m;
Добавил ssl_session_cache off;

Будем мониторить, если ошибка повторится - обязательно сообщу.
Спасибо!


Автор: Дмитрий Пичулин Перейти к цитате
UPD: Нет, ошибка всё таки у нас, не предусмотрели смену ключа при переносе ключей между провайдерами, хватало на ~60 тысяч ключей... Исправляем.

Исправили: https://update.cryptopro...t/nginx-gost/bin/185515/


Добрый день! Nginx-GOST в целом работает, но не долго. Спустя какое то время (примерно день) все клиенты отваливаются и возникает такая ошибка:

SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking

Помогает systemctl restart nginx.

/opt/cprocsp/cp-openssl-1.1.0/bin/amd64/openssl engine


/usr/sbin/nginx -V


Конфиг nginx


yum list installed | grep cpro


Подскажите с чем это может быть связано и как решить проблему? 185515 не помог
Offline Дмитрий Пичулин  
#520 Оставлено : 6 мая 2019 г. 16:51:28(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: Андрей Степанов Перейти к цитате
SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking

У нас запрещен вариант работы по, так называемым, "статическим" ключам Диффи-Хеллмана.

Если вы не используете данный вариант, то расскажите как нам воспроизвести вашу проблему.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
28 Страницы«<2425262728>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.