Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Иван Бахтин  
#1 Оставлено : 4 апреля 2022 г. 15:11:58(UTC)
Иван Бахтин

Статус: Участник

Группы: Участники
Зарегистрирован: 24.02.2021(UTC)
Сообщений: 19
Российская Федерация
Откуда: Сыктывкар

Сказал(а) «Спасибо»: 5 раз
Здравствуйте!
Пытаюсь наладить интеграцию с ГИС ЖКХ через их API + stunnel. И выходит ошибка Error 0x8009030e returned by VerifyCertChain.

Установленный сертификат:


Настройки stunnel.conf:


Вывод log stunnel:


Так же хочу сказать, что проверил сертификаты на совпадение (т.е. установленный у меня и передаваемый с сервера ГИС ЖКХ) утилитой /opt/cprocsp/bin/amd64/csptest, сертификаты совпадают.

Подскажите, пожалуйста, где я допустил ошибку и как её исправить?
Спасибо!
Offline two_oceans  
#2 Оставлено : 5 апреля 2022 г. 7:20:56(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Добрый день.
Вижу 2 варианта исправления: 1) verify=0 и не задаваться таким неблагодарным делом как проверка сертификата, выданного тестовым УЦ. Имитировать такое сложное API как у ГИС ЖКХ - сомневаюсь, что хакеры будут. Если работает, значит это подлинная ГИС ЖКХ. Серьезно, добавлять тестовый УЦ в доверенные представляет намного больший риск чем игнорировать проверку сертификата сервера. Отключение проверки действует только на конкретное соединение, а тестовый УЦ неизвестно где потом вылезет. Если ГИС ЖКХ реально хотят безопасности, то они должны серверный сертификат получить у Минцифры, а не вот эту подделку для галочки. Для тестовых соединений так точно стоит ставить verify=0, так как там реальных персональных данных не передается.

2) в строке CAFile по идее должен быть не сам сертификат сервера, а список сертификатов УЦ, выдавшего сертификат серверу. В случае тестового УЦ КриптоПро это обычно 2 сертификата от корневого и промежуточного УЦ. Обычно это выглядит как:
Код:
===== BEGIN TRUSTED CERTIFICATE =====
сертификат 1
===== END TRUSTED CERTIFICATE =====
===== BEGIN TRUSTED CERTIFICATE =====
сертификат 2
===== END TRUSTED CERTIFICATE =====
заголовки могут немного отличаться смотря какая версия stunnel и openssl

Отредактировано пользователем 5 апреля 2022 г. 7:27:39(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Иван Бахтин оставлено 05.04.2022(UTC)
Offline Иван Бахтин  
#3 Оставлено : 5 апреля 2022 г. 11:51:18(UTC)
Иван Бахтин

Статус: Участник

Группы: Участники
Зарегистрирован: 24.02.2021(UTC)
Сообщений: 19
Российская Федерация
Откуда: Сыктывкар

Сказал(а) «Спасибо»: 5 раз
Автор: two_oceans Перейти к цитате
Добрый день.
Вижу 2 варианта исправления: 1) verify=0 и не задаваться таким неблагодарным делом как проверка сертификата, выданного тестовым УЦ. Имитировать такое сложное API как у ГИС ЖКХ - сомневаюсь, что хакеры будут. Если работает, значит это подлинная ГИС ЖКХ. Серьезно, добавлять тестовый УЦ в доверенные представляет намного больший риск чем игнорировать проверку сертификата сервера. Отключение проверки действует только на конкретное соединение, а тестовый УЦ неизвестно где потом вылезет. Если ГИС ЖКХ реально хотят безопасности, то они должны серверный сертификат получить у Минцифры, а не вот эту подделку для галочки. Для тестовых соединений так точно стоит ставить verify=0, так как там реальных персональных данных не передается.

2) в строке CAFile по идее должен быть не сам сертификат сервера, а список сертификатов УЦ, выдавшего сертификат серверу. В случае тестового УЦ КриптоПро это обычно 2 сертификата от корневого и промежуточного УЦ. Обычно это выглядит как:
Код:
===== BEGIN TRUSTED CERTIFICATE =====
сертификат 1
===== END TRUSTED CERTIFICATE =====
===== BEGIN TRUSTED CERTIFICATE =====
сертификат 2
===== END TRUSTED CERTIFICATE =====
заголовки могут немного отличаться смотря какая версия stunnel и openssl


Большое спасибо! С verify=0 запросы проходят. Очень надеюсь, что на боевом сервере с verify=2 всё будет работать. :)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.