Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline voadmin  
#1 Оставлено : 26 апреля 2021 г. 13:11:40(UTC)
voadmin

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2021(UTC)
Сообщений: 3

Добрый день!
Для задач тестирования MTLS ГОСТ решил задействовать stunnel, чтобы прозрачно работать из утилит типа Postman, SOAPUI и т.д.. В качестве серверной части выступает кластер Ngate, stunnel в качестве клиента.
Пробовал тестировать с двух ОС. Из под Ubuntu задействовал stunnel, который идет в поставке к 4-й версии CrypotCSP, там никаких проблем, все поднимается, работает, и stunnel и curl отлично работают. А вот в Windows столкнулся с проблемами. Изначально попробовал версию с гитхаба, но столкнулся с ошибкой. Сервис запускается, но попытка коннекта падает с ошибкой:

Тогда решил попробовать другие версии, stunnel_msspi_cli.exe, stunnel.win32.exe, stunnel.x64.exe, все три версии позволяют успешно установить соединение. Соответственно, версия с плохим файлом сертификата не актуальна.
Вот, к примеру лог консольной версии stunnel_msspi_cli.exe:

При этом, stunnel_msspi_cli.exe нельзя установить в качестве службы, stunnel.x64.exe ставится в качестве службы, но не стартует, хотя из консоли запускается. stunnel.win32.exe получилось установить в качестве службы и работает, но при попытке остановить службу, сообщает, что служба остановлена, хотя процесс продолжает держать порт и соединение.
Хотелось бы разобраться, почему не хочет работать с сертификатом stunnel-msspi.exe.
Конфиг:


Версии
CryptoSCP: 4.0.9963
Stunnel: 5.56

Отредактировано пользователем 26 апреля 2021 г. 13:17:15(UTC)  | Причина: Не указана

Offline pd  
#2 Оставлено : 26 апреля 2021 г. 13:15:45(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: voadmin Перейти к цитате
cert = Cert.cer

Пропишите лучше отпечаток сертификата здесь, будет как-то так (но с вашим отпечатком):

Цитата:
cert = 00 02 c5 2d 7f 42 83 3e 20 1c 7a 67 e2 66 a8 fe 30 30 29 be

Знания в базе знаний, поддержка в техподдержке
Offline voadmin  
#3 Оставлено : 26 апреля 2021 г. 13:19:38(UTC)
voadmin

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2021(UTC)
Сообщений: 3

Автор: pd Перейти к цитате
Автор: voadmin Перейти к цитате
cert = Cert.cer

Пропишите лучше отпечаток сертификата здесь, будет как-то так (но с вашим отпечатком):

Цитата:
cert = 00 02 c5 2d 7f 42 83 3e 20 1c 7a 67 e2 66 a8 fe 30 30 29 be



Пробовал, не помогает, та же ошибка. Хотя нет, другая ошибка:
2021.04.26 13:17:37 LOG7[2]: Remote descriptor (FD=908) initialized
2021.04.26 13:17:37 LOG6[2]: msspi: try open cert = "12b31bab66452204b68e2bafa1dbe294ff331708" as file
2021.04.26 13:17:37 LOG3[2]: msspi: add_mycert failed: "can not open file" (cert = "12b31bab66452204b68e2bafa1dbe294ff331708")
2021.04.26 13:17:37 LOG5[2]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
Почему-то пытается о крыть, как файл

Отредактировано пользователем 26 апреля 2021 г. 13:25:32(UTC)  | Причина: Не указана

Offline pd  
#4 Оставлено : 26 апреля 2021 г. 14:28:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: voadmin Перейти к цитате
Автор: pd Перейти к цитате
Автор: voadmin Перейти к цитате
cert = Cert.cer

Пропишите лучше отпечаток сертификата здесь, будет как-то так (но с вашим отпечатком):

Цитата:
cert = 00 02 c5 2d 7f 42 83 3e 20 1c 7a 67 e2 66 a8 fe 30 30 29 be



Пробовал, не помогает, та же ошибка. Хотя нет, другая ошибка:
2021.04.26 13:17:37 LOG7[2]: Remote descriptor (FD=908) initialized
2021.04.26 13:17:37 LOG6[2]: msspi: try open cert = "12b31bab66452204b68e2bafa1dbe294ff331708" as file
2021.04.26 13:17:37 LOG3[2]: msspi: add_mycert failed: "can not open file" (cert = "12b31bab66452204b68e2bafa1dbe294ff331708")
2021.04.26 13:17:37 LOG5[2]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
Почему-то пытается о крыть, как файл

Если работаете в режиме сервиса в Windows, сертификат должен быть установлен в Локальный компьютер и быть доступен пользователю System.
Знания в базе знаний, поддержка в техподдержке
Offline voadmin  
#5 Оставлено : 26 апреля 2021 г. 14:37:58(UTC)
voadmin

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.04.2021(UTC)
Сообщений: 3

Автор: pd Перейти к цитате
Автор: voadmin Перейти к цитате
Автор: pd Перейти к цитате
Автор: voadmin Перейти к цитате
cert = Cert.cer

Пропишите лучше отпечаток сертификата здесь, будет как-то так (но с вашим отпечатком):

Цитата:
cert = 00 02 c5 2d 7f 42 83 3e 20 1c 7a 67 e2 66 a8 fe 30 30 29 be



Пробовал, не помогает, та же ошибка. Хотя нет, другая ошибка:
2021.04.26 13:17:37 LOG7[2]: Remote descriptor (FD=908) initialized
2021.04.26 13:17:37 LOG6[2]: msspi: try open cert = "12b31bab66452204b68e2bafa1dbe294ff331708" as file
2021.04.26 13:17:37 LOG3[2]: msspi: add_mycert failed: "can not open file" (cert = "12b31bab66452204b68e2bafa1dbe294ff331708")
2021.04.26 13:17:37 LOG5[2]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
Почему-то пытается о крыть, как файл

Если работаете в режиме сервиса в Windows, сертификат должен быть установлен в Локальный компьютер и быть доступен пользователю System.


Точно, спасибо, так и есть, если контейнер скопировать из пользователя в комп, и указать отпечаток сертификата, то работает... Хотя файлик так и не кушает, продолжает ругаться на бедовый формат, пытался и в system32 класть, и в папке лежит. Ладно, с отпечатком тоже катит, на разок потестировать пойдет.

Отредактировано пользователем 26 апреля 2021 г. 14:41:16(UTC)  | Причина: Не указана

Offline bigsmog88  
#6 Оставлено : 13 февраля 2024 г. 18:56:31(UTC)
bigsmog88

Статус: Участник

Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 16

Добрый день, на linux получаю такие же ошибки, указывал и файл и отпечаток.
Сертификаты установил в uMy и в mRoot все равно ошибка msspi: add_mycert failed: "can not open file" (cert = "dcb9e96d8c1f8c237ac33ebccad0aa39e72d948b") или msspi: add_mycert failed: "bad file format" (cert = "/opt/stunnel/ssl/msspi/self_ssl.cer")
Offline pd  
#7 Оставлено : 14 февраля 2024 г. 14:50:55(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: bigsmog88 Перейти к цитате
Добрый день, на linux получаю такие же ошибки, указывал и файл и отпечаток.
Сертификаты установил в uMy и в mRoot все равно ошибка msspi: add_mycert failed: "can not open file" (cert = "dcb9e96d8c1f8c237ac33ebccad0aa39e72d948b") или msspi: add_mycert failed: "bad file format" (cert = "/opt/stunnel/ssl/msspi/self_ssl.cer")

Чтобы минимизировать ошибки использования сертификата, можно воспользоваться командой certmgr от того же пользователя, что запускает stunnel-msspi:

Код:
/opt/cprocsp/bin/amd64/certmgr -list


В выдаче найти целевой сертификат, убедиться, что у него проставлен "PrivateKey Link : Yes", тогда использовать его значение "SHA1 Hash" в качестве отпечатчка в stunnel-msspi.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.