logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

28 Страницы«<25262728>
Опции
К последнему сообщению К первому непрочитанному
Offline Андрей Степанов  
#521 Оставлено : 7 мая 2019 г. 11:03:14(UTC)
Андрей Степанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.05.2019(UTC)
Сообщений: 5
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Андрей Степанов Перейти к цитате
SSL_do_handshake() failed (SSL: error:0609B099:digital envelope routines:EVP_PKEY_derive_set_peer:different parameters error:80010029:lib(128):gng_pkey_decrypt_3410:GNG_ERR_INCOMPATIBLE error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while SSL handshaking

У нас запрещен вариант работы по, так называемым, "статическим" ключам Диффи-Хеллмана.

Если вы не используете данный вариант, то расскажите как нам воспроизвести вашу проблему.


Добрый день! Алгоритм Диффи-Хеллмана не используем.
Появилось решение, а точнее способ обойти проблему. При попытке выяснить что может вызывать сбой, обнаружил виновника в виде logrotate который каждый раз делал systemctl reload nginx при переполнении логов. После выполнения этой команды у всех клиентов возникают проблемы с хендшейком. ЭТо подтвердилось, если в ручном режиме сделать reload (не restart) ключи также отваливаются.
С нашей стороны пришлось отказаться от logrotate, но надеюсь в следующих версиях nginx-gost вы сможете найти проблему и пофиксить.

Offline Дмитрий Пичулин  
#522 Оставлено : 7 мая 2019 г. 11:17:30(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: Андрей Степанов Перейти к цитате
Добрый день! Алгоритм Диффи-Хеллмана не используем.
Появилось решение, а точнее способ обойти проблему. При попытке выяснить что может вызывать сбой, обнаружил виновника в виде logrotate который каждый раз делал systemctl reload nginx при переполнении логов. После выполнения этой команды у всех клиентов возникают проблемы с хендшейком. ЭТо подтвердилось, если в ручном режиме сделать reload (не restart) ключи также отваливаются.
С нашей стороны пришлось отказаться от logrotate, но надеюсь в следующих версиях nginx-gost вы сможете найти проблему и пофиксить.

Да, reload известная проблема: https://www.cryptopro.ru...&m=102256#post102256
Знания в базе знаний, поддержка в техподдержке
Offline i.nikolenko  
#523 Оставлено : 16 мая 2019 г. 20:21:09(UTC)
i.nikolenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.05.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Санкт-Петербург

Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.

Полностью, что делал:

Ubuntu 16.04
1. Установил openssl 1.1.1b из рекомендованного форка https://github.com/deemr...penssl-1.1.1b-gost-0.24:
Код:
./config
make
sudo make install


2. Установил КриптоПро CSP 4.0 R4:
Код:
sudo apt install lsb lsb-core alien
wget https://cryptopro.ru/sites/default/files/private/csp/40/9963/linux-amd64_deb.tgz
tar xf linux-amd64_deb.tgz && cd linux-amd64_deb
sudo ./install.sh
sudo dpkg -i cprocsp-rdr-gui-gtk-64_4.0.0-4_amd64.deb


3. Скачал https://update.cryptopro...5515/win64/gostengy.dll,
положил в /usr/local/ssl/gostengy.dll

4. Добавил в /usr/local/ssl/openssl.cnf:
Код:
# в начале файла, но после строки oid_section = new_oids
openssl_conf = openssl_def

# в конце файла
[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /usr/local/ssl/gostengy.dll
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1


5. Запускаю для проверки и получаю ошибку:
Код:
$ openssl engine

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
139903910340352:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:119:filename(/usr/local/ssl/gostengy.dll): /usr/local/ssl/gostengy.dll: invalid ELF header
139903910340352:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162:
139903910340352:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:414:
139903910340352:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/usr/local/ssl/gostengy.dll
139903910340352:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:177:module=engines, value=engine_section, retcode=-1


Что я делаю не так?

Отредактировано пользователем 16 мая 2019 г. 20:24:27(UTC)  | Причина: Не указана

Offline Санчир Момолдаев  
#524 Оставлено : 18 мая 2019 г. 0:05:43(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 90
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 7 раз в 7 постах
Автор: i.nikolenko Перейти к цитате
Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.


Добрый день!
предлагаю пойти по простому пути.
скачайте последнюю версию CSP 5.0 https://www.cryptopro.ru...loads#latest_csp50_linux
выполните стандартную установку ./install.sh
далее вам необходимо установить пакеты cprocsp-cpopenssl-110-*

в openssl.cnf укажите dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/engines/libgostengy.so вместо dynamic_path = /usr/local/ssl/gostengy.dll
Техническую поддержку оказываем тут
Наша база знаний
Offline i.nikolenko  
#525 Оставлено : 20 мая 2019 г. 16:58:24(UTC)
i.nikolenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 16.05.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Санкт-Петербург

Автор: Санчир Момолдаев Перейти к цитате
Автор: i.nikolenko Перейти к цитате
Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.

предлагаю пойти по простому пути.
скачайте последнюю версию CSP 5.0 https://www.cryptopro.ru...loads#latest_csp50_linux

У нас куплена серверная лицензия CSP 4.0 - в конечном счёте нужно, чтобы заработало с ней.
Offline Санчир Момолдаев  
#526 Оставлено : 20 мая 2019 г. 17:02:19(UTC)
Санчир Момолдаев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 03.12.2018(UTC)
Сообщений: 90
Российская Федерация

Сказал(а) «Спасибо»: 4 раз
Поблагодарили: 7 раз в 7 постах
Автор: i.nikolenko Перейти к цитате
Автор: Санчир Момолдаев Перейти к цитате
Автор: i.nikolenko Перейти к цитате
Помогайте, пожалуйста.
Не могу заставить работать openssl с ГОСТ 2012 по инструкциям.

предлагаю пойти по простому пути.
скачайте последнюю версию CSP 5.0 https://www.cryptopro.ru...loads#latest_csp50_linux

У нас куплена серверная лицензия CSP 4.0 - в конечном счёте нужно, чтобы заработало с ней.


тогда доустановите пакеты 110 отсюда https://update.cryptopro...t/nginx-gost/bin/180423/
остальное остается также.

Отредактировано пользователем 20 мая 2019 г. 18:44:25(UTC)  | Причина: указал не ту ссылку

Техническую поддержку оказываем тут
Наша база знаний
Offline vlados123  
#527 Оставлено : 30 мая 2019 г. 17:01:45(UTC)
vlados123

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.05.2019(UTC)
Сообщений: 1
Российская Федерация
Откуда: Москва

Как из подписи полученной след. командой
Цитата:
openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:test2018 -in "doc.txt" -binary -out "doc.sign" -outform pem -signer ./publicKey.pem


Получить само значение подписи.
Offline Дмитрий Пичулин  
#528 Оставлено : 30 мая 2019 г. 17:27:09(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: vlados123 Перейти к цитате
Как из подписи полученной след. командой
Цитата:
openssl cms -sign -engine gostengy -keyform ENGINE -inkey c:test2018 -in "doc.txt" -binary -out "doc.sign" -outform pem -signer ./publicKey.pem


Получить само значение подписи.

Здесь решаем вопросы связанные с работой ГОСТ.

А "получить само значение подписи" заслуживает отдельной темы.
Знания в базе знаний, поддержка в техподдержке
Offline dkazachkoff  
#529 Оставлено : 2 июня 2019 г. 0:10:19(UTC)
dkazachkoff

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.10.2013(UTC)
Сообщений: 1

Добрый день! при попытке сгенерить ключ получаю ошибку:

openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out seckey.pem
Error initializing gost2001 context
139933680112064:error:06093096:digital envelope routines:EVP_PKEY_keygen_init:operation not supported for this keytype:crypto/evp/pmeth_gn.c:73:

Пробовал на Centos 7 и Ubuntu 18.04.2. Устанавливал csp 5 и 4 с пакетами openssl-110. Менял алгоритмы на gost2012_512 и gost2012_256

Подскажите где может быть проблема
Offline two_oceans  
#530 Оставлено : 3 июня 2019 г. 4:52:31(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 33 раз
Поблагодарили: 130 раз в 125 постах
Добрый день!
Пожалуйста внимательно прочитайте ответы на часто задаваемые вопросы во втором сообщении темы. Ошибка наверно в том, что прочитали старые инструкции для расширения gost криптокома и пытаетесь генерировать ключ через openssl. Расширения gostengy и gost_capi от КриптоПро, не поддерживают команду openssl genpkey (кажется вот в этой же теме было). А даже если сгенерите ключ в pem файл, то не сможете его использовать с расширениями gostengy и gost_capi. Поэтому правильно будет сгенерировать ключ в КриптоПро (создается ключ в контейнере КриптоПро, не в pem файле), а уже потом контейнер можно использовать из openssl через расширения gostengy и gost_capi. Обратите внимание, что конвертировать ключ из контейнера криптопро в pem при этом не нужно.

В тоже время, если используете расширения других компаний, то там с большой вероятностью подход не изменился и надо генерировать pem файл в openssl.

Отредактировано пользователем 3 июня 2019 г. 4:53:09(UTC)  | Причина: Не указана

Offline simpleman66  
#531 Оставлено : 5 августа 2019 г. 12:28:58(UTC)
simpleman66

Статус: Новичок

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 2
Российская Федерация

На сервере с настроенным nginx+gostengy+ГОСТ2012 сертификатами в случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты.
В логе при этом ошибка:
[emerg] 2169#2169: ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)

Считаю это неправильным поведением, когда из-за одного просроченного сертификата использующимся один из хостов, перестают работать несколько десятков других хостов.
Задал вопрос в комьюнити Nginx - авторы говорят пишите авторам gostengy https://forum.nginx.org/read.php?21,285094,285099

Помогите пожалуйста решить эту проблему.
Offline Дмитрий Пичулин  
#532 Оставлено : 5 августа 2019 г. 13:29:50(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: simpleman66 Перейти к цитате
На сервере с настроенным nginx+gostengy+ГОСТ2012 сертификатами в случае если у одного из хостов истекает срок действия сертификата, то отказывается работать nginx. Т.е. перестают работать абсолютно все вирт хосты.
В логе при этом ошибка:
[emerg] 2169#2169: ENGINE_load_private_key("9867b5ab2b2c88342766gg5e99a6a7c6ddc7e324") failed (SSL: error:80015033:lib(128):gng_support_getuserkey:GNG_ERR_LICENSE error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)

Считаю это неправильным поведением, когда из-за одного просроченного сертификата использующимся один из хостов, перестают работать несколько десятков других хостов.
Задал вопрос в комьюнити Nginx - авторы говорят пишите авторам gostengy https://forum.nginx.org/read.php?21,285094,285099

Помогите пожалуйста решить эту проблему.

При разработке у нас был другой подход, что прохождение всех проверок при старте системы, гарантирует дальнейшую работоспособность.

То есть, рядовому пользователю проще сразу нарваться на ошибку, чем разбираться с ней в процессе работы.

Ваша ситуация понятна, опытным пользователям такой подход может показаться наивным, но всегда можно оперативно отключать проблемные хосты на уровне конфигурации.

Предлагайте свои варианты, как бы вы хотели улучшить старт системы.
Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#533 Оставлено : 5 августа 2019 г. 14:26:12(UTC)
rmussalimov

Статус: Участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться
После выполнения команды
Цитата:
openssl engine


Получаю

Цитата:
(dynamic) Dynamic engine loading support
140478666684160:error:2506406A:DSO support routines:dlfcn_bind_func:could not bind to the requested symbol name:crypto/dso/dso_dlfcn.c:189:symname(bind_engine): /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so: undefined symbol: bind_engine
140478666684160:error:2506C06A:DSO support routines:DSO_bind_func:could not bind to the requested symbol name:crypto/dso/dso_lib.c:186:
140478666684160:error:260B6068:engine routines:dynamic_load:DSO failure:crypto/engine/eng_dyn.c:427:
140478666684160:error:260BC066:engine routines:int_engine_configure:engine configuration error:crypto/engine/eng_cnf.c:141:section=gost_section, name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so
140478666684160:error:0E07606D:configuration file routines:module_run:module initialization error:crypto/conf/conf_mod.c:177:module=engines, value=engine_section, retcode=-1


.cnf файл


Цитата:
openssl_conf = openssl_def

[openssl_def]
engines = engine_section

[engine_section]
gostengy = gost_section

[gost_section]
engine_id = gostengy
dynamic_path = /opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so
default_algorithms = CIPHERS, DIGESTS, PKEY, PKEY_CRYPTO, PKEY_ASN1


В чем может быть дело? OS: Ubuntu 12, CSP 4.0

Отредактировано пользователем 5 августа 2019 г. 14:28:24(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#534 Оставлено : 5 августа 2019 г. 14:36:48(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: rmussalimov Перейти к цитате
Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться

По какой инструкции?

Автор: rmussalimov Перейти к цитате
name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so

libcrypto.so не является engine, у вас ошибка конфигурации.

У нас есть 2 engine, gost_capi (старый) и gostengy (текущий), подробнее смотрите в FAQ в начале темы.

Актуальный поддерживаемый нами в настоящий момент вариант установки: https://www.cryptopro.ru...aspx?g=posts&t=12505
Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#535 Оставлено : 5 августа 2019 г. 14:43:10(UTC)
rmussalimov

Статус: Участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: rmussalimov Перейти к цитате
Сделал все по инструкции, установил 2 rpm пакета, но engine отказывается ставиться

По какой инструкции?

Автор: rmussalimov Перейти к цитате
name=dynamic_path, value=/opt/cprocsp/cp-openssl-1.1.0/lib/amd64/libcrypto.so

libcrypto.so не является engine, у вас ошибка конфигурации.

У нас есть 2 engine, gost_capi (старый) и gostengy (текущий), подробнее смотрите в FAQ в начале темы.

Актуальный поддерживаемый нами в настоящий момент вариант установки: https://www.cryptopro.ru...aspx?g=posts&t=12505


Установил отсюда https://update.cryptopro...t/nginx-gost/bin/185515/
cprocsp-cpopenssl-110-base-5.0.11315-5.noarch.rpm
cprocsp-cpopenssl-110-64-5.0.11315-5.x86_64.rpm

Пытаюсь установить gostengy.

Какой .so нужно записать в .cnf?
Offline Дмитрий Пичулин  
#536 Оставлено : 5 августа 2019 г. 14:53:12(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: rmussalimov Перейти к цитате
Какой .so нужно записать в .cnf?

Действуйте согласно инструкции: https://www.cryptopro.ru...aspx?g=posts&t=12505

При ошибках, следует уточнить систему и все шаги на данной чистой системе приводящие к ошибке.

Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#537 Оставлено : 5 августа 2019 г. 15:00:26(UTC)
rmussalimov

Статус: Участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
До nginx не дошел, просто поставить бы в систему
Делал по этой инструкции https://www.cryptopro.ru....aspx?g=posts&t=8544
Есть какие-либо предположения с чем связана ошибка?
Offline Дмитрий Пичулин  
#538 Оставлено : 5 августа 2019 г. 15:03:56(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: rmussalimov Перейти к цитате
До nginx не дошел, просто поставить бы в систему
Делал по этой инструкции https://www.cryptopro.ru....aspx?g=posts&t=8544
Есть какие-либо предположения с чем связана ошибка?

Да, смотрите первый ответ: https://www.cryptopro.ru...&m=105554#post105554

Знания в базе знаний, поддержка в техподдержке
Offline rmussalimov  
#539 Оставлено : 5 августа 2019 г. 15:05:54(UTC)
rmussalimov

Статус: Участник

Группы: Участники
Зарегистрирован: 05.08.2019(UTC)
Сообщений: 14

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: rmussalimov Перейти к цитате
До nginx не дошел, просто поставить бы в систему
Делал по этой инструкции https://www.cryptopro.ru....aspx?g=posts&t=8544
Есть какие-либо предположения с чем связана ошибка?

Да, смотрите первый ответ: https://www.cryptopro.ru...&m=105554#post105554



Т.е. проблема в том, что OpenSSL не определяет .so как engine?
Offline Дмитрий Пичулин  
#540 Оставлено : 5 августа 2019 г. 15:07:28(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 123 раз в 106 постах
Автор: rmussalimov Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: rmussalimov Перейти к цитате
До nginx не дошел, просто поставить бы в систему
Делал по этой инструкции https://www.cryptopro.ru....aspx?g=posts&t=8544
Есть какие-либо предположения с чем связана ошибка?

Да, смотрите первый ответ: https://www.cryptopro.ru...&m=105554#post105554



Т.е. проблема в том, что OpenSSL не определяет .so как engine?

Нет, не в этом.

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
28 Страницы«<25262728>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.