Bug 31644

Summary: не работает генерация GOST сертификатов
Product: Sisyphus Reporter: stalker <stalker>
Component: openssl-enginesAssignee: Gleb F-Malinovskiy <glebfm>
Status: NEW --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: asy, glebfm, lav, mike
Version: unstable   
Hardware: all   
OS: Linux   

Description stalker 2015-12-18 22:16:19 MSK 
rpm -qa | grep ssl
openssl-engines-1.0.1k-alt4
openssl-1.0.1k-alt4
python-module-backports.ssl_match_hostname-3.4.0.2-alt2
openssl-engine_pkcs11-0.1.8-alt2.qa2
libssl10-1.0.1k-alt4

openssl ciphers | tr ":" "\n" | grep -i gost
GOST2001-GOST89-GOST89
GOST94-GOST89-GOST89

[root@adygheya tmp]# openssl genpkey -algorithm gost2001 -pkeyopt paramset:A -out cakey.pem
[root@adygheya tmp]# ls
cakey.pem
[root@adygheya tmp]# openssl req -key cakey.pem -new -x509 -extensions v3_ca -out cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [RU]:
State or Province Name (full name) []:zz
Locality Name (eg, city) []:zz
Organization Name (eg, company) []:zzz
Organizational Unit Name (eg, section) []:zzz
Common Name (e.g., your name or your server's hostname) []:zzz
Email Address []:zz
140178775340952:error:8007D06C:lib(128):PKEY_GOST_CTRL:invalid digest type:gost_pmeth.c:81:


И похоже давно

https://toster.ru/q/233647


На убунте кстати да отработало
Comment 1 Gleb F-Malinovskiy 2015-12-18 22:31:28 MSK 
В openssl-1.0.1q-alt1 те же грабли.
Comment 2 stalker 2015-12-19 12:02:07 MSK 
(В ответ на комментарий №1)
> В openssl-1.0.1q-alt1 те же грабли.

openssl                             1.0.1f-1ubuntu2.16
на убунте  отработало, но что интересно ключ от  сертификата nginx скормить не получается.. ни там ни у нас.
Comment 3 stalker 2015-12-20 20:27:18 MSK 
Есть подозрение, что это связано с более свежей версией libcrypt
Comment 4 Gleb F-Malinovskiy 2015-12-21 15:49:58 MSK 
У нас:
$ . shell-ini-config
$ cfg="/etc/openssl/openssl.cnf"
$ ini_config_get $cfg " req " default_md
sha1

И этот sha1 доезжает до gost. Если написать default, всё работает.
Comment 5 Sergey Y. Afonin 2019-04-16 15:26:22 MSK 
(In reply to comment #4)

> И этот sha1 доезжает до gost. Если написать default, всё работает.

Если править /etc/openssl/openssl.cnf руками, надо не забыть, что там default_md в двух местах задан.

И есть инструкция вот такая теперь: https://www.altlinux.org/ГОСТ_в_OpenSSL