Re: Проблема с SSl

[Maxim Dounin]

Hello!

On Fri, Oct 19, 2018 at 05:55:28PM +0300, Иван Мишин wrote:

> Есть такой конфиг:
> 
>  server {
> >         listen       443 ssl;
> >         server_name  test.ru;
> >
> >         ssl_certificate     /etc/nginx/include/test/lich-2012-srv.pem;
> >         ssl_certificate_key
> > 'engine:gostengy:s38g83e8ae2e2183b3624f880eb1ca12ggcdfebf';
> >         ssl_verify_client off;
> >         ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
> >         ssl_ciphers GOST2012-GOST8912:GOST2001-GOST89:HIGH;
> >         ssl_prefer_server_ciphers  on;
> >       location / {
> >                 proxy_set_header X-Real-IP $remote_addr;
> >                 proxy_set_header X-Forwarded-For
> > $proxy_add_x_forwarded_for;
> >                 proxy_hide_header  Host;
> >                 proxy_set_header X-NginX-Proxy true;
> >                 proxy_set_header Host test.loc;
> >                 proxy_pass http://test.loc;
> >                 proxy_redirect off;
> >                 client_max_body_size 300M;
> >                 sendfile on;
> >                 send_timeout 300s;
> >         }
> >     }
> 
> 
> Со временем сервер либо перестает работать совсем, либо работает через раз.
> при этом в логах вот такая ошибка:
> 
> > [crit] 28474#28474: *401018 SSL_do_handshake() failed (SSL:
> > error:8001B035:lib(128):gng_keyhandle_getset:GNG_ERR_EXPORT_IMPORT
> > error:1419D093:SSL routines:tls_process_cke_gost:decryption failed) while
> > SSL handshaking, client: x.x.x.x, server: 0.0.0.0:443
> 
> Просьба помочь с решением проблемы.

Судя по диагностики, ваши проблемы - где-то в GOST engine.  Если 
по условиям задачи её можно выкинуть - очевидным решением будет 
выкинуть.  Если выкинуть нельзя - попробуйте поиграться с версиями 
OpenSSL'я и GOST engine, а равно попробуйте грузить ключ из файла, 
а не через engine.  Если ничего из этого не поможет - стоит 
стучаться непосредственно к ребятам, занимающимся оной GOST 
engine.

-- 
Maxim Dounin
http://mdounin.ru/