Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline dubinin.nik  
#1 Оставлено : 27 января 2022 г. 12:36:35(UTC)
dubinin.nik

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.01.2022(UTC)
Сообщений: 6

Сказал(а) «Спасибо»: 2 раз
Прошу помощи!

Настраиваю интеграцию с ГИИС ДМДК! Сделал все как по инструкции по "ОПИСАНИЕ ИНТЕГРАЦИОННОГО СЕРВИСА".

В конфиг файле

Цитата:
output=c:\stunnel\stunnel.log
socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1
debug=7
[https]
client=yes
accept=127.0.0.1:1500
connect=195.209.130.19:443
cert=C:\stunnel\clicer.cer
verify=0


Настроил как сервис от нового пользователя, все пароли сохранил - все супер. После танцев с бубном сервис стартует автоматом и работает. В лог все пишется. А вот дальше начинается самое интересное. Все общение с туннелем заканчивается на уровне хендшейка и дальше тишина.. Вот пример лог файла:

Цитата:
2022.01.27 11:08:37 LOG5[21404:7348]: stunnel 4.18 on x86-pc-unknown
2022.01.27 11:08:37 LOG5[21404:7348]: Threading:WIN32 Sockets:SELECT,IPv6
2022.01.27 11:08:37 LOG5[21404:7348]: No limit detected for the number of clients
2022.01.27 11:08:37 LOG7[21404:7348]: FD 308 in non-blocking mode
2022.01.27 11:08:37 LOG7[21404:7348]: SO_REUSEADDR option set on accept socket
2022.01.27 11:08:37 LOG7[21404:7348]: https bound to 127.0.0.1:1500
2022.01.27 11:18:29 LOG7[21404:7348]: https accepted FD=312 from 127.0.0.1:52067
2022.01.27 11:18:29 LOG7[21404:7348]: Creating a new thread
2022.01.27 11:18:29 LOG7[21404:7348]: New thread created
2022.01.27 11:18:29 LOG7[21404:19356]: client start
2022.01.27 11:18:29 LOG7[21404:19356]: https started
2022.01.27 11:18:29 LOG7[21404:19356]: FD 312 in non-blocking mode
2022.01.27 11:18:29 LOG7[21404:19356]: TCP_NODELAY option set on local socket
2022.01.27 11:18:29 LOG5[21404:19356]: https connected from 127.0.0.1:52067
2022.01.27 11:18:29 LOG7[21404:19356]: FD 372 in non-blocking mode
2022.01.27 11:18:29 LOG7[21404:19356]: https connecting
2022.01.27 11:18:29 LOG7[21404:19356]: connect_wait: waiting 10 seconds
2022.01.27 11:18:29 LOG7[21404:19356]: connect_wait: connected
2022.01.27 11:18:29 LOG7[21404:19356]: Remote FD=372 initialized
2022.01.27 11:18:29 LOG7[21404:19356]: TCP_NODELAY option set on remote socket
2022.01.27 11:18:29 LOG7[21404:19356]: start SSPI connect
2022.01.27 11:18:29 LOG5[21404:19356]: try to read the client certificate
2022.01.27 11:18:29 LOG7[21404:19356]: open file C:\stunnel\clicer.cer with certificate
2022.01.27 11:18:30 LOG3[21404:19356]: **** Error 0x8009030e returned by AcquireCredentialsHandle
2022.01.27 11:18:30 LOG3[21404:19356]: Credentials complete
2022.01.27 11:18:30 LOG3[21404:19356]: Error creating credentials
2022.01.27 11:18:30 LOG5[21404:19356]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.01.27 11:18:30 LOG7[21404:19356]: free Buffers
2022.01.27 11:18:30 LOG5[21404:19356]: incomp_mess = 0, extra_data = 0
2022.01.27 11:18:30 LOG7[21404:19356]: https finished (0 left)
2022.01.27 11:18:30 LOG7[21404:7348]: https accepted FD=400 from 127.0.0.1:52069
2022.01.27 11:18:30 LOG7[21404:7348]: Creating a new thread
2022.01.27 11:18:30 LOG7[21404:7348]: New thread created
2022.01.27 11:22:50 LOG5[5128:5160]: stunnel 4.18 on x86-pc-unknown
2022.01.27 11:22:50 LOG5[5128:5160]: Threading:WIN32 Sockets:SELECT,IPv6
2022.01.27 11:22:50 LOG5[5128:5160]: No limit detected for the number of clients
2022.01.27 11:22:50 LOG7[5128:5160]: FD 304 in non-blocking mode
2022.01.27 11:22:50 LOG7[5128:5160]: SO_REUSEADDR option set on accept socket
2022.01.27 11:22:50 LOG7[5128:5160]: https bound to 127.0.0.1:1500
2022.01.27 12:13:48 LOG7[5128:5160]: https accepted FD=284 from 127.0.0.1:50123
2022.01.27 12:13:48 LOG7[5128:5160]: Creating a new thread
2022.01.27 12:13:48 LOG7[5128:5160]: New thread created
2022.01.27 12:13:48 LOG7[5128:19276]: client start
2022.01.27 12:13:48 LOG7[5128:19276]: https started
2022.01.27 12:13:48 LOG7[5128:19276]: FD 284 in non-blocking mode
2022.01.27 12:13:48 LOG7[5128:19276]: TCP_NODELAY option set on local socket
2022.01.27 12:13:48 LOG5[5128:19276]: https connected from 127.0.0.1:50123
2022.01.27 12:13:48 LOG7[5128:19276]: FD 372 in non-blocking mode
2022.01.27 12:13:48 LOG7[5128:19276]: https connecting
2022.01.27 12:13:48 LOG7[5128:19276]: connect_wait: waiting 10 seconds
2022.01.27 12:13:48 LOG7[5128:19276]: connect_wait: connected
2022.01.27 12:13:48 LOG7[5128:19276]: Remote FD=372 initialized
2022.01.27 12:13:48 LOG7[5128:19276]: TCP_NODELAY option set on remote socket
2022.01.27 12:13:48 LOG7[5128:19276]: start SSPI connect
2022.01.27 12:13:48 LOG5[5128:19276]: try to read the client certificate
2022.01.27 12:13:48 LOG7[5128:19276]: open file C:\stunnel\clicer.cer with certificate
2022.01.27 12:13:49 LOG3[5128:19276]: Credentials complete
2022.01.27 12:13:49 LOG7[5128:19276]: 121 bytes of handshake data sent
2022.01.27 12:18:49 LOG6[5128:19276]: handshake loop s_poll_wait timeout: connection reset
2022.01.27 12:18:49 LOG3[5128:19276]: Error performing handshake
2022.01.27 12:18:49 LOG5[5128:19276]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.01.27 12:18:49 LOG7[5128:19276]: free Buffers
2022.01.27 12:18:49 LOG7[5128:19276]: delete c->hContext
2022.01.27 12:18:49 LOG7[5128:19276]: delete c->hClientCreds
2022.01.27 12:18:49 LOG5[5128:19276]: incomp_mess = 0, extra_data = 0
2022.01.27 12:18:49 LOG7[5128:19276]: https finished (0 left)
2022.01.27 12:19:14 LOG7[5128:5160]: https accepted FD=1372 from 127.0.0.1:50233
2022.01.27 12:19:14 LOG7[5128:5160]: Creating a new thread
2022.01.27 12:19:14 LOG7[5128:5160]: New thread created
2022.01.27 12:19:14 LOG7[5128:18180]: client start
2022.01.27 12:19:14 LOG7[5128:18180]: https started
2022.01.27 12:19:14 LOG7[5128:18180]: FD 1372 in non-blocking mode
2022.01.27 12:19:14 LOG7[5128:18180]: TCP_NODELAY option set on local socket
2022.01.27 12:19:14 LOG5[5128:18180]: https connected from 127.0.0.1:50233
2022.01.27 12:19:14 LOG7[5128:18180]: FD 400 in non-blocking mode
2022.01.27 12:19:14 LOG7[5128:18180]: https connecting
2022.01.27 12:19:14 LOG7[5128:18180]: connect_wait: waiting 10 seconds
2022.01.27 12:19:14 LOG7[5128:18180]: connect_wait: connected
2022.01.27 12:19:14 LOG7[5128:18180]: Remote FD=400 initialized
2022.01.27 12:19:14 LOG7[5128:18180]: TCP_NODELAY option set on remote socket
2022.01.27 12:19:14 LOG7[5128:18180]: start SSPI connect
2022.01.27 12:19:14 LOG5[5128:18180]: try to read the client certificate
2022.01.27 12:19:14 LOG7[5128:18180]: open file C:\stunnel\clicer.cer with certificate
2022.01.27 12:19:15 LOG3[5128:18180]: Credentials complete
2022.01.27 12:19:15 LOG7[5128:18180]: 121 bytes of handshake data sent
2022.01.27 12:20:56 LOG7[5128:5160]: https accepted FD=1460 from 127.0.0.1:50257
2022.01.27 12:20:56 LOG7[5128:5160]: Creating a new thread
2022.01.27 12:20:56 LOG7[5128:5160]: New thread created
2022.01.27 12:20:56 LOG7[5128:15456]: client start
2022.01.27 12:20:56 LOG7[5128:15456]: https started
2022.01.27 12:20:56 LOG7[5128:15456]: FD 1460 in non-blocking mode
2022.01.27 12:20:56 LOG7[5128:15456]: TCP_NODELAY option set on local socket
2022.01.27 12:20:56 LOG5[5128:15456]: https connected from 127.0.0.1:50257
2022.01.27 12:20:56 LOG7[5128:15456]: FD 1432 in non-blocking mode
2022.01.27 12:20:56 LOG7[5128:15456]: https connecting
2022.01.27 12:20:56 LOG7[5128:15456]: connect_wait: waiting 10 seconds
2022.01.27 12:20:56 LOG7[5128:15456]: connect_wait: connected
2022.01.27 12:20:56 LOG7[5128:15456]: Remote FD=1432 initialized
2022.01.27 12:20:56 LOG7[5128:15456]: TCP_NODELAY option set on remote socket
2022.01.27 12:20:56 LOG7[5128:15456]: start SSPI connect
2022.01.27 12:20:56 LOG5[5128:15456]: try to read the client certificate
2022.01.27 12:20:56 LOG7[5128:15456]: open file C:\stunnel\clicer.cer with certificate
2022.01.27 12:20:56 LOG3[5128:15456]: Credentials complete
2022.01.27 12:20:56 LOG7[5128:15456]: 121 bytes of handshake data sent
2022.01.27 12:24:10 LOG7[5128:5160]: https accepted FD=388 from 127.0.0.1:50340
2022.01.27 12:24:10 LOG7[5128:5160]: Creating a new thread
2022.01.27 12:24:10 LOG7[5128:5160]: New thread created
2022.01.27 12:24:10 LOG7[5128:19448]: client start
2022.01.27 12:24:10 LOG7[5128:19448]: https started
2022.01.27 12:24:10 LOG7[5128:19448]: FD 388 in non-blocking mode
2022.01.27 12:24:10 LOG7[5128:19448]: TCP_NODELAY option set on local socket
2022.01.27 12:24:10 LOG5[5128:19448]: https connected from 127.0.0.1:50340
2022.01.27 12:24:10 LOG7[5128:19448]: FD 1540 in non-blocking mode
2022.01.27 12:24:10 LOG7[5128:19448]: https connecting
2022.01.27 12:24:10 LOG7[5128:19448]: connect_wait: waiting 10 seconds
2022.01.27 12:24:10 LOG7[5128:19448]: connect_wait: connected
2022.01.27 12:24:10 LOG7[5128:19448]: Remote FD=1540 initialized
2022.01.27 12:24:10 LOG7[5128:19448]: TCP_NODELAY option set on remote socket
2022.01.27 12:24:10 LOG7[5128:19448]: start SSPI connect
2022.01.27 12:24:10 LOG5[5128:19448]: try to read the client certificate
2022.01.27 12:24:10 LOG7[5128:19448]: open file C:\stunnel\clicer.cer with certificate
2022.01.27 12:24:10 LOG3[5128:19448]: Credentials complete
2022.01.27 12:24:10 LOG7[5128:19448]: 121 bytes of handshake data sent
2022.01.27 12:24:15 LOG6[5128:18180]: handshake loop s_poll_wait timeout: connection reset
2022.01.27 12:24:15 LOG3[5128:18180]: Error performing handshake
2022.01.27 12:24:15 LOG5[5128:18180]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.01.27 12:24:15 LOG7[5128:18180]: free Buffers
2022.01.27 12:24:15 LOG7[5128:18180]: delete c->hContext
2022.01.27 12:24:15 LOG7[5128:18180]: delete c->hClientCreds
2022.01.27 12:24:15 LOG5[5128:18180]: incomp_mess = 0, extra_data = 0
2022.01.27 12:24:15 LOG7[5128:18180]: https finished (2 left)
2022.01.27 12:25:56 LOG6[5128:15456]: handshake loop s_poll_wait timeout: connection reset
2022.01.27 12:25:56 LOG3[5128:15456]: Error performing handshake
2022.01.27 12:25:56 LOG5[5128:15456]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.01.27 12:25:56 LOG7[5128:15456]: free Buffers
2022.01.27 12:25:56 LOG7[5128:15456]: delete c->hContext
2022.01.27 12:25:56 LOG7[5128:15456]: delete c->hClientCreds
2022.01.27 12:25:56 LOG5[5128:15456]: incomp_mess = 0, extra_data = 0
2022.01.27 12:25:56 LOG7[5128:15456]: https finished (1 left)
2022.01.27 12:29:10 LOG6[5128:19448]: handshake loop s_poll_wait timeout: connection reset
2022.01.27 12:29:10 LOG3[5128:19448]: Error performing handshake
2022.01.27 12:29:10 LOG5[5128:19448]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.01.27 12:29:10 LOG7[5128:19448]: free Buffers
2022.01.27 12:29:10 LOG7[5128:19448]: delete c->hContext
2022.01.27 12:29:10 LOG7[5128:19448]: delete c->hClientCreds
2022.01.27 12:29:10 LOG5[5128:19448]: incomp_mess = 0, extra_data = 0
2022.01.27 12:29:10 LOG7[5128:19448]: https finished (0 left)



При попытке протестировать согласно документации через SoapUI - при создании нового проекта выдается ошибка
Цитата:
Error loading [http://127.0.0.1:1500/ws/v1/exchange.wsdl]: java.lang.Exception: Failed to load url; http://127.0.0.1:1500/ws/v1/exchange.wsdl, 0


При попытке запустить тестирование интеграции через 1С Розница - Ювелирный магазин от 1С Рарус - Интеграция с ГИИС ДМДК - при нажатии Проверить подключение - 1С зависает.

Помогите господа разработчики!

Отредактировано пользователем 27 января 2022 г. 12:37:37(UTC)  | Причина: Не указана

Offline two_oceans  
#2 Оставлено : 28 января 2022 г. 7:32:32(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Добрый день.
Коллега, как я понимаю, при тестировании Вы совершаете частую ошибку (описано в темах по stunnel) и указываете в браузере (SoapUI, 1С) адрес как 127.0.0.1:1500. На самом деле, Вам нужно указать полное доменное имя (для этого прописывается в файле hosts соответствие этого доменного имени и адреса 127.0.0.1). Полное доменное имя (если неизвестно) можно взять из сертификата сервера.

Если совсем в идеале также слушать на портах 80 и 443 (если они у Вас свободны и соединение одно), но для wsdl скорее всего не понадобится до такого доходить.

Дело в том, что сейчас очень много ГИС, которые через один внешний ip предоставляют доступ к разным внутренним ресурсам. Для выбора ресурса используется строка Host из http запроса, а иногда также и порт. Когда Вы в браузере (SoapUI, 1С) указываете 127.0.0.1 это значение идет в строку Host из http запроса и шлюзовой сервер на той стороне оказывается в ступоре куда Вы хотите подключиться.
thanks 1 пользователь поблагодарил two_oceans за этот пост.
dubinin.nik оставлено 17.05.2022(UTC)
Offline al1111  
#3 Оставлено : 9 февраля 2022 г. 14:46:08(UTC)
al1111

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2022(UTC)
Сообщений: 1

Подскажите пожалуйста аналогичная проблемма вот только у нас в сертификате
CN = ООО"Рога копыта"
Т.е. Кирилица, ковычки, пробел. В hosts для привязки у меня не получаеться это добавить
а с hostname dacha-ПК не отрабатывает
при этом 127.0.0.1 dacha-ПК в hosts добавил.

output=c:\stunnel\stunnel.log
socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1
debug=7
[https]
client=yes
accept=dacha-ПК:1500
connect=195.209.130.19:443
cert=C:\stunnel\clicer.cer
verify=2

Как быть?
Offline two_oceans  
#4 Оставлено : 10 февраля 2022 г. 6:41:54(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: al1111 Перейти к цитате
Подскажите пожалуйста аналогичная проблемма вот только у нас в сертификате
CN = ООО"Рога копыта"
Как быть?
Что-то вы вообще странное творите: прочитайте еще раз внимательнее.
Цитата:
Полное доменное имя (если неизвестно) можно взять из сертификата сервера.
1) Зачем Вы ориентируетесь на свой сертификат клиента с CN = ООО"Рога копыта". Каким он боком относится к серверу? Аналогия - шли по улице, сертификат лежит и думаете "а не вписать ли его в конфиг"? Если точнее, то имеется ввиду сертификат удаленного сервера, к которому соединяетесь stunnel ом, то есть сервера, указанного в строке connect. Имя не обязательно в CN, может быть в Альтернативных именах владельца.

Вот только в конфиге в строке connect написан IP адрес, а вам нужно найти имя этого сервера. Это можно сделать либо через DNS командой типа nslookup 19.130.209.195.in-addr.arpa (цифры из IP в обратном порядке) либо посмотрев сертификат, который при коннекте на 195.209.130.19:443 предоставляет сервер. В DNS ГИС частенько ничего не регистрируют (первая команда дает non-existent domain), потому проще смотреть сертификат. Сохранить сертификат удаленного сервера можно утилитой csptest в командной строке
Код:
C:
cd "\Program Files\Crypto Pro\CSP"
csptest -tlsc -server 195.209.130.19 -user отпечаток_сертификата_без_пробелов -file /ws/v1/exchange.wsdl -verbose -nosave -nocheck -savecert d:\195_209_130_19.p7b
Здесь уже учтено: адрес сервера, адрес wsdl, wsdl не сохраняется, указан сертификат клиента, выводятся подробные данные, не проверяется цепочка сертификатов клиента и сервера, сертификат сервера сохраняется в файл d:\195_209_130_19.p7b. Цепочка сервера не проверяется, потому что, как оказалось, он выдан тестовым сервером КриптоПро, а добавлять тестовый УЦ в доверенные не очень разумно. Имя оказалось типа *.goznak.ru, то есть желательно вместо звездочки еще что-то подобрать. Для примера я возьму стандартное www, но возможно больше подойдет dmdk. Перед этим стоит еще 20211217 и пробел - такое имя проверку не пройдет. хотя возможно такой ответ на мой сертификат, а Вам ответит сервер что-то более квалифицированное.

2) 127.0.0.1 dacha-ПК тоже не вариант, удаленный сервер не знает про такое имя.
3) файл сертификата желателен в кодировке DER
4) при использовании stunnel-msspi можно вместо пути к сертификату указывать отпечаток (без пробелов). Также может потребоваться указать pin=пин_код
5) Насколько помню verify=2 требует дополнительных настроек (указание хранилища, в котором будут сертификаты УЦ для проверки сертификата сервера), сначала тестируйте с verify=0. Повторюсь, "добавлять тестовый УЦ в доверенные не очень разумно" и "перед *.goznak.ru стоит еще 20211217 и пробел - такое имя проверку не пройдет".
Исходя из этого, должно быть примерно так:
Код:
output=c:\stunnel\stunnel.log
socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1
debug=7
[https]
client=yes
accept=127.0.0.1:1500
connect=195.209.130.19:443
cert=C:\stunnel\clicer.cer
verify=0
в hosts
Код:
127.0.0.1 www.goznak.ru
в 1с/browser/soapui тестируете адрес
Код:
http://www.goznak.ru:1500/ws/v1/exchange.wsdl

WSDL у меня браузер получил, значит имя www.goznak.ru допустимо, но дальше нежданчик в WSDL:
Код:
<soap:address location="http://www.goznak.ru:80/ws/v1"/>
То есть для корректной работы soapui stunnel должен слушать на 80 порту, а не на 1500.

Отредактировано пользователем 10 февраля 2022 г. 8:23:53(UTC)  | Причина: Не указана

Offline basid  
#5 Оставлено : 10 февраля 2022 г. 19:35:03(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
Автор: two_oceans Перейти к цитате
Вот только в конфиге в строке connect написан IP адрес, а вам нужно найти имя этого сервера.
Это можно сделать либо через DNS командой типа nslookup 19.130.209.195.in-addr.arpa (цифры из IP в обратном порядке)
В системе разрешения доменных имён прямая и обратная зоны - две разные зоны.
Никакой связи между ними нет и, в практически важных случаях, взаимнооднозначные связи между ними - редкая случайность.

P.S.
nslookup достаточно "интеллектуален", чтобы вернуть имя по IP-адресу.
Если быть совсем точным, то утилите и думать не требуется - PTR-запись (если есть) вернёт сервер имён.

Offline two_oceans  
#6 Оставлено : 11 февраля 2022 г. 13:46:11(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: basid Перейти к цитате
В системе разрешения доменных имён прямая и обратная зоны - две разные зоны.
Никакой связи между ними нет и, в практически важных случаях, взаимнооднозначные связи между ними - редкая случайность.
Соглашусь частично, что разные и связи нет. Однако все же мне кажется не обошлось без бииип местных провайдеров (забивающих фейковые имена типа 1.2.3.xsdl.my-super-provider.ru) и сисадминов ведомств, (которым нормально купить домен, но ненормально зарегистрировать его PTR в обратных зонах dns провайдера).
Автор: basid Перейти к цитате
P.S. nslookup достаточно "интеллектуален", чтобы вернуть имя по IP-адресу.
Вот это Вы мне точно америку открыли. Почему-то пока я вручную не сменю тип запроса на PTR он мне возвращает тоже что я написал (8.8.8.8.in-addr.arpa) даже хотя запись есть. Сменю - покажет dns.google. Так что укажите, пожалуйста, ОС на которой он отрастил-таки интеллект.
Offline basid  
#7 Оставлено : 12 февраля 2022 г. 8:11:24(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
Код:
> nslookup 8.8.8.8 1.1.1.1
Server:  one.one.one.one
Address:  1.1.1.1

Name:    dns.google
Address:  8.8.8.8
Windows 7. Как оно было на NT4 и Windows 2000 - уже не помню, но на XP/2003 - работало точно также.
Offline basid  
#8 Оставлено : 12 февраля 2022 г. 8:13:42(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,089

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 149 раз в 134 постах
Автор: two_oceans Перейти к цитате
Однако все же мне кажется не обошлось без бииип местных провайдеров (забивающих фейковые имена типа 1.2.3.xsdl.my-super-provider.ru)
Это никакие не фейки.
Обратная зона - вотчина провайдера. Имена в этой зоне назначаются так, чтобы провайдер мог решать свои (технические) задачи удобным ему образом.

Offline dubinin.nik  
#9 Оставлено : 17 мая 2022 г. 11:31:15(UTC)
dubinin.nik

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.01.2022(UTC)
Сообщений: 6

Сказал(а) «Спасибо»: 2 раз
Автор: two_oceans Перейти к цитате
Добрый день.
Коллега, как я понимаю, при тестировании Вы совершаете частую ошибку (описано в темах по stunnel) и указываете в браузере (SoapUI, 1С) адрес как 127.0.0.1:1500. На самом деле, Вам нужно указать полное доменное имя (для этого прописывается в файле hosts соответствие этого доменного имени и адреса 127.0.0.1). Полное доменное имя (если неизвестно) можно взять из сертификата сервера.

Если совсем в идеале также слушать на портах 80 и 443 (если они у Вас свободны и соединение одно), но для wsdl скорее всего не понадобится до такого доходить.

Дело в том, что сейчас очень много ГИС, которые через один внешний ip предоставляют доступ к разным внутренним ресурсам. Для выбора ресурса используется строка Host из http запроса, а иногда также и порт. Когда Вы в браузере (SoapUI, 1С) указываете 127.0.0.1 это значение идет в строку Host из http запроса и шлюзовой сервер на той стороне оказывается в ступоре куда Вы хотите подключиться.



в общем проблема у меня все таки не в адресах и хостсах.

SoapUI как по айпи 127.0.0.1:1500 так и по доменному имени после прописания в хостс - ломится и выдает один и тот же лог. Проблема с сертификатом. Дело в том, что я уже даже сертификат новый в налоговой получил, установил в систему и экспортировал в clicer.cer

И все равно ошибка одна и та же

022.05.17 11:26:21 LOG7[10208:17556]: https connecting
2022.05.17 11:26:21 LOG7[10208:17556]: connect_wait: waiting 10 seconds
2022.05.17 11:26:21 LOG7[10208:17556]: connect_wait: connected
2022.05.17 11:26:21 LOG7[10208:17556]: Remote FD=1464 initialized
2022.05.17 11:26:21 LOG7[10208:17556]: TCP_NODELAY option set on remote socket
2022.05.17 11:26:21 LOG7[10208:17556]: start SSPI connect
2022.05.17 11:26:21 LOG5[10208:17556]: try to read the client certificate
2022.05.17 11:26:21 LOG7[10208:17556]: open file C:\stunnel\clicer.cer with certificate
2022.05.17 11:26:21 LOG3[10208:17556]: **** Error 0x8009030e returned by AcquireCredentialsHandle
2022.05.17 11:26:21 LOG3[10208:17556]: Credentials complete
2022.05.17 11:26:21 LOG3[10208:17556]: Error creating credentials
2022.05.17 11:26:21 LOG5[10208:17556]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.05.17 11:26:21 LOG7[10208:17556]: free Buffers
2022.05.17 11:26:21 LOG5[10208:17556]: incomp_mess = 0, extra_data = 0
2022.05.17 11:26:21 LOG7[10208:17556]: https finished (0 left)

до сих пор в ступоре
Offline dubinin.nik  
#10 Оставлено : 18 мая 2022 г. 9:19:30(UTC)
dubinin.nik

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.01.2022(UTC)
Сообщений: 6

Сказал(а) «Спасибо»: 2 раз
Помогло решение описанное в посте

https://www.cryptopro.ru...&m=133280#post133280

А именно, я сделал все по новому вот так:

1) Проверил, что служба STunnel запускается от имени системы.
2) Прошел в сертификаты локального компьютера, из каталога "Личное" -> "Реестр" -> "Сертификаты" удалил сертификаты
3) В панели КриптоПРО поместил сертификат с ключа через "сервис" -> "Просмотр. серт в конт." в хранилище локального компьютера.
4) Из программы "Сертификаты" (под админом) сделал экспорт сертификата (открытого ключа) в файл, который прописан в конфиге STunnel.

Тут важен шаг 2 и 3, т.к. как я понял при экспорте сертификата в нем указывается ссылка на конт. закр. ключа.
Запустил службу - установил соединение
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.