Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2017(UTC) Сообщений: 10  Откуда: СПБ Сказал(а) «Спасибо»: 4 раз
|
Добрый день!
Скачал свежий stunnel-msspi.
На тестовом УЦ выпустил серверный сертификат. Сохранился он в pfx.
На windows 2012 установил CryptoPro CSP 4.0.9944
В конфиге создал секцию:
client = no
sslVersion = ALL
accept = server:443
connect = server:80
cert = C:\App\ssl\server.pfx
И при запуске stunnel говорит следующее:
2018.08.28 10:27:01 LOG6[main]: Loading certificate and private key from file: C:\App\ssl\server.pfx
2018.08.28 10:27:05 LOG3[main]: error queue: 23076072: error:23076072:PKCS12 routines:PKCS12_parse:parse error
2018.08.28 10:27:05 LOG3[main]: error queue: 2306A075: error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error
2018.08.28 10:27:05 LOG3[main]: error queue: 23077073: error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error
2018.08.28 10:27:05 LOG3[main]: PKCS12_parse: 6074079: error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm
2018.08.28 10:27:05 LOG3[main]: Service [SERVER]: Failed to initialize TLS context
2018.08.28 10:27:05 LOG3[main]: Failed to reload the configuration file
И вот тут вопрос: контейнер не поддерживается? А как тогда его?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: k.biryukov  ...
cert = C:\App\ssl\server.pfx
...
И вот тут вопрос: контейнер не поддерживается? А как тогда его?
Импортируйте PFX в систему двойным кликом, должен установиться сертификат и закрытый ключ. Далее пользуйтесь по инструкции. Например, по имени, если CN=server, то "cert = server". |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2017(UTC) Сообщений: 10 Откуда: СПБ Сказал(а) «Спасибо»: 4 раз
|
Дмитрий, спасибо за рекомендацию!
То есть, работать с файлом никак? Видимо, упустил этот момент.
Можете меня в документацию ткнуть? Найти не могу. Или это инструкция на форуме?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,683  Сказал «Спасибо»: 572 раз
Поблагодарили: 2302 раз в 1803 постах
|
|
|
1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,683 Сказал «Спасибо»: 572 раз
Поблагодарили: 2302 раз в 1803 постах
|
|
|
1 пользователь поблагодарил Андрей * за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2017(UTC) Сообщений: 10 Откуда: СПБ Сказал(а) «Спасибо»: 4 раз
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,683 Сказал «Спасибо»: 572 раз
Поблагодарили: 2302 раз в 1803 постах
|
Service-mode options. .... cert Цитата:Сертификат в der кодировке.
Соответствующий сертификат в хранилище должен иметь ссылку на закрытый ключ .
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2017(UTC) Сообщений: 10 Откуда: СПБ Сказал(а) «Спасибо»: 4 раз
|
Дмитрий, Андрей, спасибо за помощь!
Все с пол-пинка "завелось".
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.02.2017(UTC) Сообщений: 10 Откуда: СПБ Сказал(а) «Спасибо»: 4 раз
|
Коллеги,
а вот еще два вопроса по использованию stunnel как сервиса Windows:
1. Допустимо ли отойти от документации и использовать собственный путь для файла конфигурации? (На вопрос "зачем" два аргумента: а) удобно хранить конфиг в специальном месте, б) в ряде случаев мне удобно вместо нескольких секций в конфиге поднять несколько сервисов со своими конфигами).
2. Службу идеологически правильно от какого пользователя запускать? Оставить системный аккаунт или отдельного завести? А если системный аккаунт, то в какое хранилище сертификаты складыывать? Локальный компьютер?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: k.biryukov Коллеги,
а вот еще два вопроса по использованию stunnel как сервиса Windows:
1. Допустимо ли отойти от документации и использовать собственный путь для файла конфигурации? (На вопрос "зачем" два аргумента: а) удобно хранить конфиг в специальном месте, б) в ряде случаев мне удобно вместо нескольких секций в конфиге поднять несколько сервисов со своими конфигами).
2. Службу идеологически правильно от какого пользователя запускать? Оставить системный аккаунт или отдельного завести? А если системный аккаунт, то в какое хранилище сертификаты складыывать? Локальный компьютер?
1. Разве в документации есть специальные требования по расположению конфигурации? Или какие-то ограничения на количество запущенных сервисов? 2. Если аккаунт системный, то хранилище "Локальный компьютер", да. Если не устраивает типичный запуск от системы, можете администрировать как вам удобнее. |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
