Atom Лента - Форум КриптоПро - Тема:Nginx ГОСТ 2012 - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:NginxGOST2012-10:1Copyright 2024 Форум КриптоПро2024-03-29T03:19:07Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruvabikhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57091&name=vabikvabikhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57091&name=vabikvabikhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57091&name=vabiktwo_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceansvabikhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57091&name=vabiktwo_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceansvabikhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57091&name=vabikYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid118055:1Nginx ГОСТ 2012<table class="content postContainer_Alt" width="100%"><tr><td>Установили версию openssl-1.1.1a,<br />при проверки openssl version<br />OpenSSL 1.0.2k-fips 26 Jan 2017<br />Подскажите пожлст., какие настройки необходимо произвести для обновления версии 1.1.1?<br /><br />Ошибка при старте Nginx: routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 <br />certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib<br /><br />Из конфигурации:<br />ssl_certificate /etc/nginx/ssl/Name.pem;<br />ssl_certificate_key engine:gostengy:Name;<br /><br />..........<br /> Приняли решение переустановить все пакеты на чистую ОС.</td></tr></table>2020-08-14T11:29:09+03:002020-08-14T11:29:09+03:00vabik<table class="content postContainer_Alt" width="100%"><tr><td>Установили версию openssl-1.1.1a,<br />при проверки openssl version<br />OpenSSL 1.0.2k-fips 26 Jan 2017<br />Подскажите пожлст., какие настройки необходимо произвести для обновления версии 1.1.1?<br /><br />Ошибка при старте Nginx: routines:PKEY_SET_TYPE:unsupported algorithm error:0B07706F:x509 <br />certificate routines:X509_PUBKEY_get:unsupported algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib<br /><br />Из конфигурации:<br />ssl_certificate /etc/nginx/ssl/Name.pem;<br />ssl_certificate_key engine:gostengy:Name;<br /><br />..........<br /> Приняли решение переустановить все пакеты на чистую ОС.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118045:1Nginx ГОСТ 2012<table class="content postContainer" width="100%"><tr><td>Установили версию 5.<br />amd64]$ ./openssl engine<br />(dynamic) Dynamic engine loading support<br />(gostengy) CryptoPro GostEngy ($Revision: 185515 $)<br /><br />amd64]$ /usr/sbin/nginx -V<br />nginx version: nginx/1.16.1<br />built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)<br />built with OpenSSL 1.0.2k-fips 26 Jan 2017<br />TLS SNI support enabled<br /><br /><br />Старт nginx:<br />2020/08/12 08:45:03 [emerg] 11915#0: SSL_CTX_use<br />_certificate("/etc/nginx/ssl/xxxxx.pem") <br />failed (SSL: error:0609E09C:digital envelope <br />routines:PKEY_SET_TYPE:unsupported algorithm <br />error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported <br />algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)<br />nginx: configuration file /etc/nginx/nginx.conf test failed</td></tr></table>2020-08-12T06:50:50+03:002020-08-12T06:50:50+03:00vabik<table class="content postContainer" width="100%"><tr><td>Установили версию 5.<br />amd64]$ ./openssl engine<br />(dynamic) Dynamic engine loading support<br />(gostengy) CryptoPro GostEngy ($Revision: 185515 $)<br /><br />amd64]$ /usr/sbin/nginx -V<br />nginx version: nginx/1.16.1<br />built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC)<br />built with OpenSSL 1.0.2k-fips 26 Jan 2017<br />TLS SNI support enabled<br /><br /><br />Старт nginx:<br />2020/08/12 08:45:03 [emerg] 11915#0: SSL_CTX_use<br />_certificate("/etc/nginx/ssl/xxxxx.pem") <br />failed (SSL: error:0609E09C:digital envelope <br />routines:PKEY_SET_TYPE:unsupported algorithm <br />error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported <br />algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)<br />nginx: configuration file /etc/nginx/nginx.conf test failed</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118043:1Nginx ГОСТ 2012<table class="content postContainer_Alt" width="100%"><tr><td>Точного названия пакета, к сожалению, не смогу подсказать - работаю под Windows. Более подробно есть в соседней теме<br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=55563#post55563" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=55563#post55563">https://www.cryptopro.ru...ts&m=55563#post55563</a><br />В случае если библиотека уже есть (а вдруг в пакете обе и gost_capi и gostengy) можно подправить настройки openssl согласно этой теме либо там же ссылка на свежие пакеты. Вообще как я понял новые версии библиотеки gostengy идут с пакетами cprocsp-cpopenssl имеющими в названии 5.0.xxxxx, а не 4.0.9963.</td></tr></table>2020-08-12T05:06:17+03:002020-08-12T05:06:17+03:00two_oceans<table class="content postContainer_Alt" width="100%"><tr><td>Точного названия пакета, к сожалению, не смогу подсказать - работаю под Windows. Более подробно есть в соседней теме<br /><a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=55563#post55563" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=55563#post55563">https://www.cryptopro.ru...ts&m=55563#post55563</a><br />В случае если библиотека уже есть (а вдруг в пакете обе и gost_capi и gostengy) можно подправить настройки openssl согласно этой теме либо там же ссылка на свежие пакеты. Вообще как я понял новые версии библиотеки gostengy идут с пакетами cprocsp-cpopenssl имеющими в названии 5.0.xxxxx, а не 4.0.9963.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118018:1Nginx ГОСТ 2012<table class="content postContainer" width="100%"><tr><td>Установленные пакеты:<br />yum list | grep cprocsp<br />cprocsp-cpopenssl-110-gost-64.x86_64 4.0.0-5 <br />cprocsp-cpopenssl-110-gost-64-4.0.0-5.x86_64<br />cprocsp-cpopenssl-64.x86_64 4.0.9963-5 <br />cprocsp-cpopenssl-base.noarch 4.0.9963-5 <br />cprocsp-cpopenssl-devel.noarch 4.0.9963-5 <br />cprocsp-cpopenssl-gost-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-base.noarch 4.0.9963-5 <br />lsb-cprocsp-ca-certs.noarch 4.0.9963-5 <br />lsb-cprocsp-capilite-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-devel.noarch 4.0.9963-5 <br />lsb-cprocsp-kc1-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-kc2-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-pkcs11-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-accord-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-ancud-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-crypton-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-maxim-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-sobol-64.x86_64 4.0.9963-5 <br /><br />Что надо до установить?</td></tr></table>2020-08-11T14:15:25+03:002020-08-11T14:15:25+03:00vabik<table class="content postContainer" width="100%"><tr><td>Установленные пакеты:<br />yum list | grep cprocsp<br />cprocsp-cpopenssl-110-gost-64.x86_64 4.0.0-5 <br />cprocsp-cpopenssl-110-gost-64-4.0.0-5.x86_64<br />cprocsp-cpopenssl-64.x86_64 4.0.9963-5 <br />cprocsp-cpopenssl-base.noarch 4.0.9963-5 <br />cprocsp-cpopenssl-devel.noarch 4.0.9963-5 <br />cprocsp-cpopenssl-gost-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-base.noarch 4.0.9963-5 <br />lsb-cprocsp-ca-certs.noarch 4.0.9963-5 <br />lsb-cprocsp-capilite-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-devel.noarch 4.0.9963-5 <br />lsb-cprocsp-kc1-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-kc2-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-pkcs11-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-accord-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-ancud-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-crypton-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-maxim-64.x86_64 4.0.9963-5 <br />lsb-cprocsp-rdr-sobol-64.x86_64 4.0.9963-5 <br /><br />Что надо до установить?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118010:1Nginx ГОСТ 2012<table class="content postContainer_Alt" width="100%"><tr><td>В смежной теме (если я Вас с кем-то не перепутал) меня немного удивило наличие engine gost_capi с openssl 110. Насколько я знаю он поддерживает только гост-2001, а для гост-2012 нужен модуль engine gostengy.<br /><br />Проблема скорее всего только в этом - сам исходный текст openssl довольно давно не имеет встроенной поддержки гост и поддержка гост добавляется именно наличием и загрузкой нужного engine. Форк openssl от КриптоПро главным образом устраняет проблемы при загрузке engine, но без самого engine поддержки гост в форке не появляется и должна быть примерно такая ошибка про неподдерживаемый алгоритм.</td></tr></table>2020-08-11T13:43:51+03:002020-08-11T13:43:51+03:00two_oceans<table class="content postContainer_Alt" width="100%"><tr><td>В смежной теме (если я Вас с кем-то не перепутал) меня немного удивило наличие engine gost_capi с openssl 110. Насколько я знаю он поддерживает только гост-2001, а для гост-2012 нужен модуль engine gostengy.<br /><br />Проблема скорее всего только в этом - сам исходный текст openssl довольно давно не имеет встроенной поддержки гост и поддержка гост добавляется именно наличием и загрузкой нужного engine. Форк openssl от КриптоПро главным образом устраняет проблемы при загрузке engine, но без самого engine поддержки гост в форке не появляется и должна быть примерно такая ошибка про неподдерживаемый алгоритм.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118007:1Nginx ГОСТ 2012<table class="content postContainer" width="100%"><tr><td>2020/08/11 13:17:31 [emerg] 7188#0: SSL_CTX_use certificate("/etc/nginx/ssl/xxx-xxxxxx01.cer") <br />failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm<br />error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported <br />algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)<br />nginx: configuration file /etc/nginx/nginx.conf test failed <br /><br />Ошибка - сертификат (созданный по алгоритму ГОСТ Р 34.11-2012/34.10-2012 256 бит) не распознается (пишет, что не поддерживаемый алгоритм)<br />Это какой-то библиотеки не хватает, или необходимы сертификаты других алгоритмов?</td></tr></table>2020-08-11T12:55:19+03:002020-08-11T12:55:19+03:00vabik<table class="content postContainer" width="100%"><tr><td>2020/08/11 13:17:31 [emerg] 7188#0: SSL_CTX_use certificate("/etc/nginx/ssl/xxx-xxxxxx01.cer") <br />failed (SSL: error:0609E09C:digital envelope routines:PKEY_SET_TYPE:unsupported algorithm<br />error:0B07706F:x509 certificate routines:X509_PUBKEY_get:unsupported <br />algorithm error:140BF10C:SSL routines:SSL_SET_CERT:x509 lib)<br />nginx: configuration file /etc/nginx/nginx.conf test failed <br /><br />Ошибка - сертификат (созданный по алгоритму ГОСТ Р 34.11-2012/34.10-2012 256 бит) не распознается (пишет, что не поддерживаемый алгоритм)<br />Это какой-то библиотеки не хватает, или необходимы сертификаты других алгоритмов?</td></tr></table>