Двухфакторная аутентификация Chromium GOST + Apache2 (Astra Linux 1.7) + сертификаты ГОСТ 2012 #118
Description
Столкнулся с проблемой работы двухфакторной аутентификации в браузере Chromium GOST. Используется клиентская машина на Win11, на которой установлен Chromium GOST 139.0.7258.66 (Официальная сборка) (32 бит). Есть веб-сервер apache2 (Server version: Apache/2.4.46 (AstraLinuxSE), Server built: 2021-01-15T12:37:23) с настроенным https и двухфакторной аутентификацией (SSLVerifyClient require), всё на сертификатах ГОСТ (алгоритм: gost2012_256). Для настройки сертификатов использовали статьи https://help.fsight.ru/ru/mergedProjects/setup/uiwebsetup/04_faq/setting_web_chromiumgost.htm и
https://help.fsight.ru/ru/mergedProjects/setup/uiwebsetup/authentication/double_auth.htm
При попытке перехода с сервисам приложения https://astra17-navigator-db1:8810/FPBI_App_v10.x/axis2/services/PP.SOM.Som происходит запрос клиентского сертификата
После выбора сертификата, получаем следующую ошибку в браузере
В логах apache2 получаем ошибки:
[Wed Oct 15 14:57:23.558192 2025] [ssl:info] [pid 476:tid 139939790432000] [client 10.9.47.49:53516] AH01964: Connection to child 29 established (server astra17-navigator-db1:443)
[Wed Oct 15 14:57:23.558285 2025] [ssl:trace2] [pid 476:tid 139939790432000] ssl_engine_rand.c(126): Server: Seeding PRNG with 656 bytes of entropy
[Wed Oct 15 14:57:23.558346 2025] [ssl:trace3] [pid 476:tid 139939790432000] ssl_engine_kernel.c(2206): [client 10.9.47.49:53516] OpenSSL: Handshake: start
[Wed Oct 15 14:57:23.558390 2025] [ssl:trace3] [pid 476:tid 139939790432000] ssl_engine_kernel.c(2215): [client 10.9.47.49:53516] OpenSSL: Loop: before SSL initialization
[Wed Oct 15 14:57:23.558413 2025] [ssl:trace4] [pid 476:tid 139939790432000] ssl_engine_io.c(2221): [client 10.9.47.49:53516] OpenSSL: I/O error, 5 bytes expected to read on BIO#7f4630002f20 [mem: 7f46300087c3]
[Wed Oct 15 14:57:23.558417 2025] [ssl:trace3] [pid 476:tid 139939790432000] ssl_engine_kernel.c(2244): [client 10.9.47.49:53516] OpenSSL: Exit: error in before SSL initialization
[Wed Oct 15 14:57:23.558432 2025] [ssl:debug] [pid 476:tid 139939790432000] ssl_engine_io.c(1370): (70014)End of file found: [client 10.9.47.49:53516] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Wed Oct 15 14:57:23.558438 2025] [ssl:info] [pid 476:tid 139939790432000] [client 10.9.47.49:53516] AH01998: Connection closed to child 29 with abortive shutdown (server astra17-navigator-db1:443)
Сертификаты генерировались средствами openssl на Astra Linux 1.7 с библиотекой libgost-astra. Подробнее о том, как генерировали сертификаты рассказано в статье https://help.fsight.ru/ru/mergedProjects/setup/uiwebsetup/04_faq/setting_web_chromiumgost.htm
Также был получен клиентский сертификат в формате .pfx и установлен в браузер Chromium GOST в личное хранилище.
Файлы конфигурации сервера apache2, закрытые ключи и сертификаты также прикладываю
000-default.conf - файл конфигурации apache2-fp10.x
CA.cer - корневой сертификат
certnew.cer - сертификат сервера (получили после подписания запроса domain.csr в тестовом УЦ КриптоПро, т.е подписан корневым CA.cer)
seckey.pem - закрытый ключ
Клиентский сертфиикат:
seckey_client.pem - закрытый ключ для генерации клиенсткого сертификата
client.csr - запрос на сертифкат
user_client2f.crt - подписанный в УЦ КриптоПро (то есть подписан CA.cer)
user_client2f.pfx - файл содержащий закрытый ключ и самого сертификата
user_client2f.pfx - получили вот так:
openssl pkcs12 -export -out user_client2f.pfx -inkey seckey_client.pem -in user_client2f.crt -engine gost
Все файлы, которые описаны выше, приложил в архив