GOST Engine не работает на OpenSSL 1.1.1k (Centos Stream 8)

[arpsyapathy]

Добрый день!

Есть 2 сервера, на обоих нужен openssl с поддержкой ГОСТ.
Используемый мануал: https://sysos.ru/?p=589

Ubuntu 18.04 Использую уже установленный openssl из репозитория (openssl 1.1.1). Успешно собираю gost-engine.
openssl engine выдает:

(rdrand) Intel RDRAND engine
(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine

openssl ciphers|tr ':' '\n'|grep GOST выдает:

GOST2012-GOST8912-GOST8912
GOST2001-GOST89-GOST89

Все успешно. Серт по url читается успешно

Centos Stream 8
Использую уже установленный openssl из репозитория (openssl 1.1.1k)
Успешно собираю gost-engine.
openssl engine выдает:

(dynamic) Dynamic engine loading support
(gost) Reference implementation of GOST engine

openssl ciphers|tr ':' '\n'|grep GOST выдает пустоту.
Не работает =\ Серт по url не выдается.
Подскажите пожалуйста в чем может быть загвоздка?

[beldmit]

Скорее всего в том, что CentOS stream использует crypto policies, которые про ГОСТ ничего не знают.

[hmaximh]

Оставлю тут как решение.
Закомментируйте настройки по умолчанию в openssl.cnf:

 #openssl_conf = default_modules 
 #[ default_modules ] 
 #ssl_conf = ssl_module 
 
 #[ ssl_module ] 
 #system_default = crypto_policy 
 
 #[ crypto_policy ] 
 #.include = /etc/crypto-policies/back-ends/opensslcnf.config

Затем необходимо явно указать Cipher Strings в файле конфигурации /etc/crypto-policies/back-ends/openssl.config:

@SECLEVEL=1:aGOST:aGOST01:kGOST:GOST94:GOST89MAC:kEECDH:kRSA:kEDH:kPSK:kDHEPSK:kECDHEPSK:-aDSS:-3DES:!DES:!RC4:!RC2:!IDEA:-SEED:!eNULL:!aNULL:!MD5:-SHA384:-CAMELLIA:-ARIA:-AESCCM8