LINUX.ORG.RU
ФорумSecurity

Apache + Российские алгоритмы шифрования (ГОСТ)


0

0

Многоуважаемый All!
Кто успешно поднимал сабж?

Делаю как написано тут: http://cryptocom.ru/OpenSource/OpenSSL_rus.html
- Паропатчил openssl-0.9.8e, пропатчил apache-2.2.3, собрал их
- Сообрал engine-gost-20070301, положил libgost.so в /usr/lib/engines
- Добавил engine_section и gost_section в openssl.cnf
- Cгенерил сертификаты:
openssl req -newkey gost2001 -keyout server.key -out server.csr
openssl x509 -req -days 360 -in server.csr -signkey server.key -out server.crt
положил их в ssl.crt, ssl.key соответственно
- Добавил строки:
SSLCryptoDevice gost
SSLProtocol -all +TLSv1 +SSLv3
в ssl.conf
- Запустил апача, ввел passphrase, проглотило.
( с openssl-0.9.9 из CVS и соответствующим патчем apache - вообще на подхватывало этот сертификат).

А тут вроде как запустилось, слушает 443 порт, телнетится к нему. Но рвет соединение с браузерами (пробовал Epiphany, Firefox, даже IE под оффтопом) - со всеми рвет соединение. Даже в телнете если набрать пару строк - рвет. В логах - тишина.
Подскажите плз - мож еще что надо было сделать/подкрутить. Ни где не нашел пример конфига ssl.conf работающего с ГОСТ.
Хелп!


Ковырял, ковырял, теперь добился что вылезает в логах:

EVP_SignFinal:wrong public key type
SSL3_SEND_SERVER_KEY_EXCHANGE:internal error
SSL23_GET_CLIENT_HELLO:unknown protocol speaking not SSL to HTTPS port!?

l07
() автор топика

может проблема в том, что ни фокс, ни эпифаний, ни ишак про гост слыхом не слыхивали? ;) Они сертификат сервера понять не могут.

anonymous
()
Ответ на: комментарий от anonymous

А как их обучить? Хотя бы оффтопный ИЕ

l07
() автор топика
Ответ на: комментарий от anonymous

Не, походу проблема изначально вот где:

(в логе) EVP_SignFinal:wrong public key type

т.е. оно не поняло публичного ключа (наверное это ругается на тот который я сгенерил openssl-ем). Хотя запустился ведь нормально и passphrase спросил. Я вот думаю может что надо в ssl.conf, в VirtualHost-е прописать, чтобы оно поняло.

К примеру я добавлял к VirtualHost-у SSLCipherSuite ALL:!ADH:HIGH:MEDIUM:-RSA:+GOST:-DSA:+SSLv3:+TLSv1:+EXP но не помогло.

l07
() автор топика
Ответ на: комментарий от l07

в любом случае, при подключении к серверу клиенту (браузеру) прийдётся использовать открытый ключ сервера в процессе генерации общего ключа, а использовать его он не сможет, т.к. алгоритм ГОСТ в нём не реализован. Возможно, что отсюда и надпись wrong public key type. Как обучить браузер не знаю. Для ИЕ можно, наверное найти какие-нибудь модули у того же криптокома. Фокс, возможно, хотя я совсем в этом не уверен, можно попробовать пересобрать с пропатченой OpenSSL

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security