Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Проблемы с ГОСТ сертификатом в stunnel - Ошибка
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline geriko2000  
#1 Оставлено : 18 мая 2023 г. 8:58:27(UTC)
geriko2000

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.05.2023(UTC)
Сообщений: 1
Российская Федерация
Откуда: Новосибирск
Возникает проблема с подключением. При попытке запроса выводится ошибка msspi: msspi_set_mycert_options failed (cert = "C:\TLS\cert2.cer", pin = "wouldyoukindly?")

Конфиг:
output = C:\TLS\stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[https]
client = yes
accept = 3080
connect = 91.215.37.229:3080
cert = C:\TLS\cert2.cer
pin = wouldyoukindly?
verify = 0

Логи:
2023.05.18 12:50:46 LOG6[ui]: Initializing inetd mode configuration
2023.05.18 12:50:46 LOG7[ui]: Running on Windows 6.2
2023.05.18 12:50:46 LOG7[ui]: No limit detected for the number of clients
2023.05.18 12:50:46 LOG5[ui]: stunnel 5.65 on x86-pc-msvc-1929 platform
2023.05.18 12:50:46 LOG5[ui]: Compiled without OPENSSL
2023.05.18 12:50:46 LOG5[ui]: Threading:WIN32 Sockets:SELECT,IPv6 TLS:OCSP,SNI
2023.05.18 12:50:46 LOG7[ui]: errno: (*_errno())
2023.05.18 12:50:46 LOG6[ui]: Initializing inetd mode configuration
2023.05.18 12:50:46 LOG7[ui]: Running on Windows 6.2
2023.05.18 12:50:46 LOG5[ui]: Reading configuration from file stunnel.conf
2023.05.18 12:50:46 LOG5[ui]: UTF-8 byte order mark not detected
2023.05.18 12:50:46 LOG6[ui]: Initializing service [https]
2023.05.18 12:50:46 LOG5[ui]: Configuration successful
2023.05.18 12:50:46 LOG7[ui]: Deallocating deployed section defaults
2023.05.18 12:50:46 LOG7[ui]: Binding service [https]
2023.05.18 12:50:46 LOG7[ui]: Listening file descriptor created (FD=308)
2023.05.18 12:50:46 LOG7[ui]: Setting accept socket options (FD=308)
2023.05.18 12:50:46 LOG7[ui]: Option SO_EXCLUSIVEADDRUSE set on accept socket
2023.05.18 12:50:46 LOG6[ui]: Service [https] (FD=308) bound to :::3080
2023.05.18 12:50:46 LOG7[ui]: Listening file descriptor created (FD=328)
2023.05.18 12:50:46 LOG7[ui]: Setting accept socket options (FD=328)
2023.05.18 12:50:46 LOG7[ui]: Option SO_EXCLUSIVEADDRUSE set on accept socket
2023.05.18 12:50:46 LOG6[ui]: Service [https] (FD=328) bound to 0.0.0.0:3080
2023.05.18 12:50:48 LOG7[ui]: Found 1 ready file descriptor(s)
2023.05.18 12:50:48 LOG7[ui]: FD=304 ifds=r-x ofds=---
2023.05.18 12:50:48 LOG7[ui]: FD=308 ifds=r-x ofds=r--
2023.05.18 12:50:48 LOG7[ui]: FD=328 ifds=r-x ofds=---
2023.05.18 12:50:48 LOG7[ui]: Service [https] accepted (FD=292) from ::1:61482
2023.05.18 12:50:48 LOG7[ui]: Creating a new thread
2023.05.18 12:50:48 LOG7[ui]: New thread created
2023.05.18 12:50:48 LOG7[ui]: Found 1 ready file descriptor(s)
2023.05.18 12:50:48 LOG7[0]: Service [https] started
2023.05.18 12:50:48 LOG7[0]: Setting local socket options (FD=292)
2023.05.18 12:50:48 LOG7[0]: Option TCP_NODELAY set on local socket
2023.05.18 12:50:48 LOG5[0]: Service [https] accepted connection from ::1:61482
2023.05.18 12:50:48 LOG7[ui]: FD=304 ifds=r-x ofds=---
2023.05.18 12:50:48 LOG7[ui]: FD=308 ifds=r-x ofds=r--
2023.05.18 12:50:48 LOG6[0]: s_connect: connecting 91.215.37.229:3080
2023.05.18 12:50:48 LOG7[ui]: FD=328 ifds=r-x ofds=---
2023.05.18 12:50:48 LOG7[0]: s_connect: s_poll_wait 91.215.37.229:3080: waiting 10 seconds
2023.05.18 12:50:48 LOG7[ui]: Service [https] accepted (FD=336) from ::1:61483
2023.05.18 12:50:48 LOG7[0]: FD=340 ifds=rwx ofds=---
2023.05.18 12:50:48 LOG7[ui]: Creating a new thread
2023.05.18 12:50:48 LOG7[ui]: New thread created
2023.05.18 12:50:48 LOG7[1]: Service [https] started
2023.05.18 12:50:48 LOG7[1]: Setting local socket options (FD=336)
2023.05.18 12:50:48 LOG7[1]: Option TCP_NODELAY set on local socket
2023.05.18 12:50:48 LOG5[1]: Service [https] accepted connection from ::1:61483
2023.05.18 12:50:48 LOG6[1]: s_connect: connecting 91.215.37.229:3080
2023.05.18 12:50:48 LOG7[1]: s_connect: s_poll_wait 91.215.37.229:3080: waiting 10 seconds
2023.05.18 12:50:48 LOG7[1]: FD=368 ifds=rwx ofds=---
2023.05.18 12:50:48 LOG5[0]: s_connect: connected 91.215.37.229:3080
2023.05.18 12:50:48 LOG5[0]: Service [https] connected remote server from 10.165.76.76:61484
2023.05.18 12:50:48 LOG7[0]: Setting remote socket options (FD=340)
2023.05.18 12:50:48 LOG7[0]: Option TCP_NODELAY set on remote socket
2023.05.18 12:50:48 LOG7[0]: Remote descriptor (FD=340) initialized
2023.05.18 12:50:48 LOG6[0]: msspi: try open cert = "C:\TLS\cert2.cer" as file
2023.05.18 12:50:48 LOG5[1]: s_connect: connected 91.215.37.229:3080
2023.05.18 12:50:48 LOG5[1]: Service [https] connected remote server from 10.165.76.76:61485
2023.05.18 12:50:48 LOG7[1]: Setting remote socket options (FD=368)
2023.05.18 12:50:48 LOG7[1]: Option TCP_NODELAY set on remote socket
2023.05.18 12:50:48 LOG7[1]: Remote descriptor (FD=368) initialized
2023.05.18 12:50:48 LOG3[0]: msspi: msspi_set_mycert_options failed (cert = "C:\TLS\cert2.cer", pin = "wouldyoukindly?")
2023.05.18 12:50:48 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2023.05.18 12:50:48 LOG6[1]: msspi: try open cert = "C:\TLS\cert2.cer" as file
2023.05.18 12:50:48 LOG7[0]: Remote descriptor (FD=340) closed
2023.05.18 12:50:48 LOG7[0]: Local descriptor (FD=292) closed
2023.05.18 12:50:48 LOG7[0]: Service [https] finished (1 left)
2023.05.18 12:50:48 LOG3[1]: msspi: msspi_set_mycert_options failed (cert = "C:\TLS\cert2.cer", pin = "wouldyoukindly?")
2023.05.18 12:50:48 LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2023.05.18 12:50:48 LOG7[1]: Remote descriptor (FD=368) closed
2023.05.18 12:50:48 LOG7[1]: Local descriptor (FD=336) closed
2023.05.18 12:50:48 LOG7[1]: Service [https] finished (0 left)

Не нашел решения похожей проблемы. На этом форуме есть одна тема с той же ошибкой, но тут проблема не в пароле. Сертификаты без пароля также не работают. Сами сертификаты созданы правильно по инструкции и импортированы в файл через CryptoPro CSP и действительны

Отредактировано пользователем 18 мая 2023 г. 9:15:11(UTC)  | Причина: Не указана
Вверх

Wanna join the discussion?! Login to your Форум КриптоПро forum accountor Register a new forum account.
Вверх  
Offline Русев Андрей  
#2 Оставлено : 18 мая 2023 г. 11:33:33(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,416

Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 565 раз в 393 постах
Здравствуйте.
Если взглянуть на код msspi_set_mycert_options:
https://github.com/deemr...1001/src/msspi.cpp#L1820
то видно, что возможны такие проблемы:

  • У вас в личном хранилище не установлен сертификат C:\TLS\cert2.cer, либо он установлен без ссылки на закрытый ключ. Решение: вставить токен, на котором лежит соответствующий сертификату контейнер и установить сертификат с помощью cptools (вкладка "сертификаты", "установить сертификаты"). В отчёте об установке должно быть написано "Хранилище: Личное".
  • Предъявлен неверный pin.
  • На соответствующем сертификате ключе не удаётся сформировать подпись. Это может быть, если срок действия ключа истёк, либо истекла лицензия на КриптоПро CSP. Решение: протестировать контейнер с помощью cptools (вкладка "контейнеры", выбрать нужный, "протестировать контейнер").

Кроме того, в системном журнале можно посмотреть сообщения об ошибках от провайдера после неуспешного соединения stunnel. Как правило, они позволят понять причину проблем.
Официальная техподдержка. Официальная база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET