Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline ElenaS  
#21 Оставлено : 15 февраля 2016 г. 15:20:42(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: vitalyusov Перейти к цитате
Автор: ElenaS Перейти к цитате
Обычно достаточно экспорта в формате .cer, но если будут сообщения об ошибках, то лучше переконвертировать файл сертификата


Далее при проверке возможности подписи командой:

sudo openssl cms -sign -engine gost_capi -keyform ENGINE -inkey www.aaa.ru -in "doc.txt" -out "doc.signed.txt" -outform PEM -CAfile ./mycert.cer.pem -nodetach -signer ./mycert.cer.pem

Получаю сообщение об ошибке:

Цитата:
engine "gost_capi" set.
cannot load signing key file from engine
139959740757664:error:80088093:lib(128):CAPI_GOST_F_CAPI_CHECK_LICENSE:CAPI_GOST_R_LICENSE_EXPIRED:/dailybuilds/CSPbuild/CSP/samples/cp-openssl_plugin/e_gost_capi.c:4475:
139959740757664:error:26096080:engine routines:ENGINE_load_private_key:failed loading private key:eng_pkey.c:126:
unable to load signing key file




При использовании серверного сертификата требуется серверная лицензия. Судя по тексту ошибки, у Вас истекла временная серверная лицензия, которая встроена в CSP и работает три месяца.

Отредактировано пользователем 15 февраля 2016 г. 15:34:03(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Offline vitalyusov  
#22 Оставлено : 15 февраля 2016 г. 15:47:45(UTC)
vitalyusov

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.02.2016(UTC)
Сообщений: 6

Поблагодарили: 1 раз в 1 постах
Автор: ElenaS Перейти к цитате
При использовании серверного сертификата требуется серверная лицензия. Судя по тексту ошибки, у Вас истекла временная серверная лицензия, которая встроена в CSP и работает три месяца.


Только установил CSP :)

cpconfig -license -view возвращает:

Server license:
39390-Z0037-EA3YG-GRQED-E6LPZ
Expires: 2 month(s) 27 day(s)
Offline Neeler  
#23 Оставлено : 15 февраля 2016 г. 18:03:57(UTC)
Neeler

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2016(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Точно такая же проблема. Взял gost_capi из этой темы http://www.cryptopro.ru/...aspx?g=posts&t=9975, проблема ушла.
Offline Дмитрий Пичулин  
#24 Оставлено : 15 февраля 2016 г. 18:12:34(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 967
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Neeler Перейти к цитате
Точно такая же проблема. Взял gost_capi из этой темы http://www.cryptopro.ru/...aspx?g=posts&t=9975, проблема ушла.

Как было указано выше, при использовании серверного сертификата требуется серверная лицензия.

В дистрибутиве, которым вы воспользовались, просто отсутствует эта проверка, считайте, что он был выложен по ошибке. Можете проверить на нём остальной функционал.
Знания в базе знаний, поддержка в техподдержке
Offline Neeler  
#25 Оставлено : 15 февраля 2016 г. 18:17:01(UTC)
Neeler

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2016(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Автор: Neeler Перейти к цитате
Точно такая же проблема. Взял gost_capi из этой темы http://www.cryptopro.ru/...aspx?g=posts&t=9975, проблема ушла.

Как было указано выше, при использовании серверного сертификата требуется серверная лицензия.

В дистрибутиве, которым вы воспользовались, просто отсутствует эта проверка, считайте, что он был выложен по ошибке. Можете проверить на нём остальной функционал.



CSP только был установлен, или данной лицензии не достаточно?
Server license:
39390-Z0037-EA3YG-GRQED-xxxxx
Expires: 3 month(s) 0 day(s)
thanks 1 пользователь поблагодарил Neeler за этот пост.
Дмитрий Пичулин оставлено 17.02.2016(UTC)
Offline Дмитрий Пичулин  
#26 Оставлено : 15 февраля 2016 г. 18:19:13(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 967
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Neeler Перейти к цитате
CSP только был установлен, или данной лицензии не достаточно?

С вашей стороны мы не видим ошибок, попытаемся воспроизвести ошибку завтра.

Проверка серверной лицензии была введена в начале февраля и находится в процессе тестирования.

Знания в базе знаний, поддержка в техподдержке
Offline Neeler  
#27 Оставлено : 15 февраля 2016 г. 18:20:22(UTC)
Neeler

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.02.2016(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Поблагодарили: 1 раз в 1 постах
Автор: pd Перейти к цитате
Автор: Neeler Перейти к цитате
CSP только был установлен, или данной лицензии не достаточно?

С вашей стороны мы не видим ошибок, попытаемся воспроизвести ошибку завтра.

Проверка серверной лицензии была введена в начале февраля и находится в процессе тестирования.



Спасибо за информацию.
Offline Дмитрий Пичулин  
#28 Оставлено : 15 февраля 2016 г. 18:28:46(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 967
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Neeler Перейти к цитате
39390-Z0037-EA3YG-GRQED-xxxxx
Expires: 3 month(s) 0 day(s)

Попробуйте провайдер 4.0, так как gost_capi является частью ветки 4.0

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#29 Оставлено : 16 февраля 2016 г. 18:54:13(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 967
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Обновили gost_capi: http://www.cryptopro.ru/...ts&m=55563#post55563

Теперь при работе с серверными сертификатами достаточно любой серверной лицензии: 4.0, 3.9, 3.6 или 3.8
Знания в базе знаний, поддержка в техподдержке
Offline vitalyusov  
#30 Оставлено : 17 февраля 2016 г. 11:12:16(UTC)
vitalyusov

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.02.2016(UTC)
Сообщений: 6

Поблагодарили: 1 раз в 1 постах
Генерация тестовых сертификатов стала прерываться на шаге "Sending request to CA..."
И тестовый УЦ http://cryptopro.ru/certsrv не открывается в браузере.
Offline ElenaS  
#31 Оставлено : 17 февраля 2016 г. 17:04:28(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: vitalyusov Перейти к цитате
Генерация тестовых сертификатов стала прерываться на шаге "Sending request to CA..."
И тестовый УЦ http://cryptopro.ru/certsrv не открывается в браузере.


Попробуйте ещё раз, у нас были профилактические работы на тестовом УЦ.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline vitalyusov  
#32 Оставлено : 17 февраля 2016 г. 17:44:10(UTC)
vitalyusov

Статус: Новичок

Группы: Участники
Зарегистрирован: 12.02.2016(UTC)
Сообщений: 6

Поблагодарили: 1 раз в 1 постах
Автор: ElenaS Перейти к цитате
Попробуйте ещё раз, у нас были профилактические работы на тестовом УЦ.


Спасибо, теперь получилось пройти все этапы установки, подписать файл при помощи "openssl -sign..." и запустить nginx.
Можно ли теперь протестировать работу веб-сервера на той же машине, где установлены CSP и nginx?

Пробую при помощи curl из пакета cprocsp-curl-64 и получаю в ответ сообщение:
Цитата:

sudo ./curl https://localhost
curl: (58) Problem with the local SSL certificate
Offline Дмитрий Пичулин  
#33 Оставлено : 17 февраля 2016 г. 18:20:49(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 967
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: vitalyusov Перейти к цитате
Можно ли теперь протестировать работу веб-сервера на той же машине, где установлены CSP и nginx?

Пробую при помощи curl из пакета cprocsp-curl-64 и получаю в ответ сообщение:
Цитата:

sudo ./curl https://localhost
curl: (58) Problem with the local SSL certificate

csptest (на Unix "csptestf") может:

Код:
csptest -tlsc -server localhost -port 443 -nocheck -verbose -proto 4


Вот примерный вывод:

Код:
12 algorithms supported:
[0] 0x660e
[1] 0x6610
[2] 1.2.840.113549.3.4 (rc4)
[3] 1.2.840.113549.3.7 (3des)
[4] 1.3.14.3.2.7 (des)
[5] 1.2.840.113549.2.5 (md5)
[6] 1.3.14.3.2.26 (sha1)
[7] 1.2.840.113549.1.1.1 (RSA)
[8] 1.2.840.113549.1.9.16.3.5 (ESDH)
[9] 0xae06
[10] 1.2.840.10040.4.1 (DSA)
[11] 0x2203
Cipher strengths: 256..256
Supported protocols: 0x80
Protocol version: 3.1
ClientHello: RecordLayer: TLS, Len: 116
Cipher Suites: (ff 85) (00 81) (c0 14) (c0 13) (00 35) (00 2f) (c0 0a) (c0 09) (00 38) (00 32) (00 0a) (00 13) (00 05) (00 04)
121 bytes of handshake data sent
860 bytes of handshake data received
210 bytes of handshake data sent
238 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 80, Suite: 81 (TLS_GOSTR341001_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GOST R 34.11-94), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2001), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2001), KeyType: 0
SECPKG_ATTR_NAMES: CN=pdn8.cp.ru
SECPKG_ATTR_PACKAGE_INFO# fCapabilities: 0x107B3
SECPKG_ATTR_PACKAGE_INFO# wVersion: 1
SECPKG_ATTR_PACKAGE_INFO# wRPCID: 65535
SECPKG_ATTR_PACKAGE_INFO# cbMaxToken: 16379
SECPKG_ATTR_PACKAGE_INFO# Name: CryptoPro SSP
SECPKG_ATTR_PACKAGE_INFO# Comment: CryptoPro Security Package

Server certificate:
Subject: CN=pdn8.cp.ru
Valid  : 26.02.2015 10:15:25 - 26.05.2015 10:25:25 (UTC) expired
Issuer : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2

Protocol: TLS 1.0
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa25
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16384

HTTP request: GET / HTTP/1.1
User-Agent: Webclient
Accept:*/*
Host: localhost
Connection: close


Sending plaintext: 89 bytes
107 bytes of application data sent
259 bytes of (encrypted) application data received
Decrypted data: 250 bytes
11 bytes of (encrypted) application data received
Context expired: OK if file is completely downloaded
Reply status: HTTP/1.1 200 OK
Sending Close Notify
11 bytes of handshake data sent
1 connections, 250 bytes in 0.164 seconds;
Total: SYS: 0,031 sec USR: 0,000 sec UTC: 0,183 sec
[ErrorCode: 0x00000000]

Отредактировано пользователем 18 февраля 2016 г. 12:18:28(UTC)  | Причина: csptestf

Знания в базе знаний, поддержка в техподдержке
Offline ElenaS  
#34 Оставлено : 11 мая 2016 г. 16:30:20(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: vitalyusov Перейти к цитате
Автор: pd Перейти к цитате
В пошаговой инструкции не хватает части, где происходит экспорт сертификата в файл /etc/nginx/cert.cer


Экспорт делаем по аналогии как в топике OpenSSl engine. Apache ?


certmgr -export -store uMy -dest /path/to/cert/mycert.cer
+
openssl x509 -inform DER -outform PEM -in mycert.cer -out mycert.cer.pem

Верно?


В Ubuntu важно, чтобы кодировка сертификатов ssl и сертификатов корневых УЦ, указанных в конфигах nginx и ssl совпадала. При этом неважно, PEM или BASE64. Если есть ошибка, нужно переконвертировать, а специально подгонять под PEM не обязательно.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline pezzak  
#35 Оставлено : 1 июля 2016 г. 17:12:57(UTC)
pezzak

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.07.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: moscow

Подскажите, а как имя контейнера узнать для proxy_ssl_certificate_key engine:gost_capi: ?

Код:
root@root:/var/opt/cprocsp/keys# /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject             : E=admin@abc.ru, C=RU, S=xxx, L=xxx, O=xxx, OU=xxx, CN=xxx
Serial              : 0x11D50A0E000E0001A73C
SHA1 Hash           : 0x82a43cd23faa402c6f8daed2f56fd683e4a14033
SubjKeyID           : 7157d1d1e0791b4045e03384f96b71b0405aa551
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 29/02/2016  13:05:00 UTC
Not valid after     : 28/02/2021  13:15:00 UTC
PrivateKey Link     : Yes                 
Container           : HDIMAGE\\singanls.000\80CE
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
Extended Key Usage  : 1.2.643.6.13.2
                      1.3.6.1.5.5.7.3.4
                      1.2.643.2.2.34.6
                      1.3.6.1.5.5.7.3.2
=============================================================================
Offline ElenaS  
#36 Оставлено : 1 июля 2016 г. 17:25:52(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Автор: pezzak Перейти к цитате
Подскажите, а как имя контейнера узнать для proxy_ssl_certificate_key engine:gost_capi: ?

Код:
root@root:/var/opt/cprocsp/keys# /opt/cprocsp/bin/amd64/certmgr -list
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer              : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject             : E=admin@abc.ru, C=RU, S=xxx, L=xxx, O=xxx, OU=xxx, CN=xxx
Serial              : 0x11D50A0E000E0001A73C
SHA1 Hash           : 0x82a43cd23faa402c6f8daed2f56fd683e4a14033
SubjKeyID           : 7157d1d1e0791b4045e03384f96b71b0405aa551
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before    : 29/02/2016  13:05:00 UTC
Not valid after     : 28/02/2021  13:15:00 UTC
PrivateKey Link     : Yes                 
Container           : HDIMAGE\\singanls.000\80CE
Provider Name       : Crypto-Pro GOST R 34.10-2001 KC1 CSP
Provider Info       : ProvType: 75, KeySpec: 1, Flags: 0x0
Extended Key Usage  : 1.2.643.6.13.2
                      1.3.6.1.5.5.7.3.4
                      1.2.643.2.2.34.6
                      1.3.6.1.5.5.7.3.2
=============================================================================


Имя контейнера в данном случае можно увидеть в строке Сontainer, но если это для конфига, то потребуется имя сертификата, а не контейнера:

Автор: ElenaS Перейти к цитате

Подробно настройка ssl-сертификата описывается в документации к nginx http://nginx.org/ru/docs...ule.html#ssl_certificate
При этом для параметра ssl_certificate_key вместо файла указывается зарезервированное слово "engine:", после которого следует имя OpenSSL ENGINE, в нашем случае это "gost_capi", далее следует зарезервированный символ ':', за которым следует имя сертификата. Например, для сертификата "www.vpngost.ru", значение ssl_certificate_key выглядело бы так: "engine:gost_capi:www.vpngost.ru"


Техническую поддержку оказываем тут.
Наша база знаний.
Offline pezzak  
#37 Оставлено : 1 июля 2016 г. 17:32:45(UTC)
pezzak

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.07.2016(UTC)
Сообщений: 2
Российская Федерация
Откуда: moscow

Вот не понятно откуда "www.vpngost.ru" берется, это из CN= ?
Offline ElenaS  
#38 Оставлено : 1 июля 2016 г. 17:37:48(UTC)
Елена Серебренникова

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.04.2014(UTC)
Сообщений: 31
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Верно, это имя должно совпадать с DNS-именем сервера.
Техническую поддержку оказываем тут.
Наша база знаний.
Offline Дмитрий Пичулин  
#39 Оставлено : 3 июля 2016 г. 23:37:22(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 967
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: ElenaS Перейти к цитате
Верно, это имя должно совпадать с DNS-именем сервера.


Для однозначности или за отсутствием имени можно использовать уникальный идентификатор ключа субъекта (Subject Key Identifier).

Код:
ssl_certificate_key "engine:gost_capi:7f 57 7f 15 f2 12 16 59 ff f2 cc a5 c4 27 da 3e c4 df 03 ad";


2016-07-03_23-18-13.png (11kb) загружен 1,081 раз(а).
Знания в базе знаний, поддержка в техподдержке
Offline Алексей П.  
#40 Оставлено : 11 октября 2016 г. 15:31:50(UTC)
Алексей П.

Статус: Участник

Группы: Участники
Зарегистрирован: 11.10.2016(UTC)
Сообщений: 13
Российская Федерация
Откуда: Санкт-Петербург

Здравствуйте.
Подскажите, как добавить и прилинковать закрытый ключ из тестового сертификата? Все описанные шаги выполнены но nginx ругается "SSL: error:26096080:engine routines:ENGINE_load_private_key:failed loading private key)". Статус сертификата "PrivateKey Link : No ".
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
6 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.