Садоводческое

Работа системного администратора чем-то напоминает работу садовода.
Установка системы с дистрибутива - это посадка семян.
Копирование системы с одной машины на друю - черенкование
Апгрейд на новую версию дистрибутива - привикка.

Это я к чему? К тому что почему-то у хороших сисадминов вегетативное размножение операционных систем заметно преобладает над посадкой семян.

Садоводческое

Работа системного администратора чем-то напоминает работу садовода.
Установка системы с дистрибутива - это посадка семян.
Копирование системы с одной машины на друю - черенкование
Апгрейд на новую версию дистрибутива - привикка.

Это я к чему? К тому что почему-то у хороших сисадминов вегетативное размножение операционных систем заметно преобладает над посадкой семян.

Гарантийные ремоннтики в Формозе censored

Мало того что за неделю тестирования так и не нашли, в чем проблема с внезапными перезагрузками компьютеров, так еще в процессе поменяли мне master и slave диски местами.
Соответственно, пришлось решить задачу "имея разобранный и не грузящийся компьютер, найти в интернете описание джамперов винта". Потому что ихние сборщики поставили винт в машину так, что увидеть схему джамперов, наклеенную на нем самом, ни откуда не оторвав гарантийную наклейку - невозможно.

Гарантийные ремоннтики в Формозе censored

Мало того что за неделю тестирования так и не нашли, в чем проблема с внезапными перезагрузками компьютеров, так еще в процессе поменяли мне master и slave диски местами.
Соответственно, пришлось решить задачу "имея разобранный и не грузящийся компьютер, найти в интернете описание джамперов винта". Потому что ихние сборщики поставили винт в машину так, что увидеть схему джамперов, наклеенную на нем самом, ни откуда не оторвав гарантийную наклейку - невозможно.

Мы строили, строили и наконец построили!

Итак, в текущем снапшоте OpenSSL 0.9.9 (еще не выпущенная девелопмент версия) есть полноценная поддержка алгоритмов ГОСТ.

Включая сюда полную поддержку RFC 4490 (S/MIME, PKCS7), RFC 4491 (сертификаты, заявки CRL)
и драфта IETF по gost ciphersuites от CryptoPro.

Пока гарантируется работа только при сборке ccgost engine в виде отдельной разделяемой библиотеке и её подгрузке через явное указание dynamic_path в конфиге. Но, надеюсь, в ближайшее время и это поправим.

По идее (пока интенсивного тестирования приложений не проводилось) все приложения TLS, кроме Apache
должны работать либо из коробки (если они умеют читать конфигурационный файл OpenSSL) или с приложением патчей со странички http://www.cryptocom.ru/OpenSource/OpenSSL_rus.html (которые их этому обучают).

С апачем сложнее - он шибко умный и ключи грузит сам. Поэтому его придется обучать, что типов публичных ключей бывает не два (RSA и DSA), а как минимум - пять. (RSA, DSA, EC, GOST94, GOST2001). Да, естественно, патчи для работы apache с неофициальным патчем к 0.9.8e (AKA МагПро КриптоПакет 1.0) для работы с OpenSSL 0.9.9 не годятся.

К сожалению, ребята из Core Team забыли закоммитить 300-строчый README.gost который объясняет как именно работать с ГОСТ-овскими алгоритмами в OpenSSL. Но я им уже напомнил.

Мы строили, строили и наконец построили!

Итак, в текущем снапшоте OpenSSL 0.9.9 (еще не выпущенная девелопмент версия) есть полноценная поддержка алгоритмов ГОСТ.

Включая сюда полную поддержку RFC 4490 (S/MIME, PKCS7), RFC 4491 (сертификаты, заявки CRL)
и драфта IETF по gost ciphersuites от CryptoPro.

Пока гарантируется работа только при сборке ccgost engine в виде отдельной разделяемой библиотеке и её подгрузке через явное указание dynamic_path в конфиге. Но, надеюсь, в ближайшее время и это поправим.

По идее (пока интенсивного тестирования приложений не проводилось) все приложения TLS, кроме Apache
должны работать либо из коробки (если они умеют читать конфигурационный файл OpenSSL) или с приложением патчей со странички http://www.cryptocom.ru/OpenSource/OpenSSL_rus.html (которые их этому обучают).

С апачем сложнее - он шибко умный и ключи грузит сам. Поэтому его придется обучать, что типов публичных ключей бывает не два (RSA и DSA), а как минимум - пять. (RSA, DSA, EC, GOST94, GOST2001). Да, естественно, патчи для работы apache с неофициальным патчем к 0.9.8e (AKA МагПро КриптоПакет 1.0) для работы с OpenSSL 0.9.9 не годятся.

К сожалению, ребята из Core Team забыли закоммитить 300-строчый README.gost который объясняет как именно работать с ГОСТ-овскими алгоритмами в OpenSSL. Но я им уже напомнил.