Stunnel - Не получается зашифровать соединение так, чтобы получить корректный...

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Stunnel - Не получается зашифровать соединение так, чтобы получить корректный JSON ответ от сервера

Опции

Предыдущая тема Следующая тема

2bione		#1 Оставлено : 1 октября 2022 г. 19:39:17(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.09.2022(UTC) Сообщений: 5 Откуда: Саратов Сказал(а) «Спасибо»: 3 раз		Добрый день Нужно настроить шифрование запросов по ГОСТ-34.10-2012 через Stunnel для бюро кредитных историй ОКБ. Конфиг настроил по инструкции, сертификат добавил и привязал его к контейнеру, пароль с контейнера удалил. При выполнении curl в ответ получаю такую ошибку curl: (58) Problem with the local SSL certificate Из запроса я убрал токены для работы с сервером, но с ним такой же ответ. То есть как я понимаю нет корректного соединения с сервером для работы уже серверной части запроса. /opt/cprocsp/bin/amd64/curl -v https://scores-test.bki-okb.com:8080/api/v1/products/ch/strategies/person_gen7_cl_v1 * About to connect() to scores-test.bki-okb.com port 8080 (#0) * Trying 127.0.0.1... connected * Connected to scores-test.bki-okb.com (127.0.0.1) port 8080 (#0) * Closing connection #0 * Problem with the local SSL certificate curl: (58) Problem with the local SSL certificate Но сертификаты все вроде бы установлены как корневые так и клиента, который был так же привязан к контейнеру с закрытой частью. /opt/cprocsp/bin/amd64/certmgr -list Certmgr 1.1 (c) "Crypto-Pro", 2007-2018. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Subject : E=pki@bki-okb.ru, O="АО ""ОКБ""", L=Москва, C=RU, CN=Тестовый пользователь 2021 Serial : 0x03EA6C*235A1 SHA1 Hash : e937a41592988 SubjKeyID : f82c206e6d47b9 Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits) Not valid before : 11/11/2021 06:46:37 UTC Not valid after : 11/11/2026 06:56:37 UTC PrivateKey Link : Yes Container : HDIMAGE\\TestUser.000\B5D0 Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0 OCSP URL : http://ocsp.cryptopro.ru/ocsp2012/ocsp.srf CA cert URL : http://cpca20.cryptopro....8dafae5382bb778ed464.crt CDP : http://cdp.cryptopro.ru/...8dafae5382bb778ed464.crl CDP : http://cpca20.cryptopro....8dafae5382bb778ed464.crl Extended Key Usage : 1.3.6.1.5.5.7.3.2 1.3.6.1.5.5.7.3.4 1.2.643.2.2.34.6 ============================================================================= /opt/cprocsp/bin/amd64/certmgr -l -store uRoot Certmgr 1.1 (c) "Crypto-Pro", 2007-2018. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO Subject : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO Serial : 0x0FDD104EE49490BF80E711BE040559F1FE SHA1 Hash : c8e00fe58abd9bea94d0b8048f53e3e57448a430 SubjKeyID : 72f05086b2809fad0239e0c393160ee2b3a77a26 Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 09/03/2017 11:43:24 UTC Not valid after : 09/03/2032 11:43:24 UTC PrivateKey Link : No 2------- Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Serial : 0x0278A81A01F7AAEDBC418C69A4B26871D6 SHA1 Hash : ec338e87c8a34be5ec53df164ddee40934176fb3 SubjKeyID : 2f0f30ee1b2e93dae26d835df02636b8119486dd Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits) Not valid before : 31/10/2019 16:59:08 UTC Not valid after : 31/10/2034 16:59:08 UTC PrivateKey Link : No 3------- Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Serial : 0x00DD104EE49490C280E711C10F7871BE9B SHA1 Hash : ae71dcfac7a211a78f415f5ecbf72986fb673563 SubjKeyID : 06d84904600b6340c01fc6368563b09638e04a9b Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits) Not valid before : 23/03/2017 11:59:49 UTC Not valid after : 23/03/2032 11:59:49 UTC PrivateKey Link : No 4------- Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Serial : 0x0317BE3301C1AC17A948CF46A8C4F46F4D SHA1 Hash : 425fe75d8f3b23b13c508ba834428d365c07436b SubjKeyID : 1d5c58c03feb4407cf888dafae5382bb778ed464 Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits) Not valid before : 31/01/2021 18:30:28 UTC Not valid after : 31/01/2036 18:30:28 UTC PrivateKey Link : No 5------- Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Serial : 0x01E3FBF60031A9579540CA4145DB0C179C SHA1 Hash : 5269538f37d31c44f2ec22941941c864297a3e1a SubjKeyID : fdf55268ab6b48aa7efb695f722a7a1709b09a37 Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits) Not valid before : 03/08/2018 14:49:15 UTC Not valid after : 03/08/2033 14:49:15 UTC PrivateKey Link : No 6------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Subject : E=dit@minsvyaz.ru, C=RU, S=77 г. Москва, L=Москва, STREET="125375 г. Москва, ул. Тверская, д. 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Головной удостоверяющий центр Serial : 0x34681E40CB41EF33A9A0B7C876929A29 SHA1 Hash : 8cae88bbfd404a7a53630864f9033606e1dc45e2 SubjKeyID : 8b983b891851e8ef9c0278b8eac8d420b255c95d Signature Algorithm : ГОСТ Р 34.11/34.10-2001 PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits) Not valid before : 20/07/2012 12:31:14 UTC Not valid after : 17/07/2027 12:31:14 UTC PrivateKey Link : No 7------- Issuer : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России Subject : E=dit@minsvyaz.ru, C=RU, S=77 Москва, L=г. Москва, STREET="улица Тверская, дом 7", O=Минкомсвязь России, OGRN=1047702026701, INN=007710474375, CN=Минкомсвязь России Serial : 0x4E6D478B26F27D657F768E025CE3D393 SHA1 Hash : 4bc6dc14d97010c41a26e058ad851f81c842415a SubjKeyID : c254f1b46bd44cb7e06d36b42390f1fec33c9b06 Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits) Not valid before : 06/07/2018 12:18:06 UTC Not valid after : 01/07/2036 12:18:06 UTC PrivateKey Link : No 8------- Issuer : OGRN=1037700085444, INN=007717107991, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro GOST Root CA Subject : OGRN=1037700085444, INN=007717107991, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro GOST Root CA Serial : 0x4056ED0099A9D6AF49C9FF98B9C70E70 SHA1 Hash : 34e21fc04d3576b0ada81fd081955e2778291cc5 SubjKeyID : c2364dcc24260a439625305b67579b2ac9439cd5 Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits) Not valid before : 15/11/2018 14:14:09 UTC Not valid after : 15/11/2033 14:14:09 UTC PrivateKey Link : No 9------- Issuer : C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRamp Global Certification Authority Subject : C=US, OU=www.xrampsecurity.com, O=XRamp Security Services Inc, CN=XRamp Global Certification Authority Serial : 0x50946CEC18EAD59C4DD597EF758FA0AD SHA1 Hash : b80186d1eb9c86a54104cf3054f34c52b7e558c6 SubjKeyID : c64fa23d066384099cce62e404ac8d5cb5e9b61b Signature Algorithm : sha1/RSA PublicKey Algorithm : RSA (0 bits) Not valid before : 01/11/2004 17:14:04 UTC Not valid after : 01/01/2035 05:37:19 UTC PrivateKey Link : No CDP : http://crl.xrampsecurity.com/XGCA.crl 10------- Issuer : C=US, O="VeriSign, Inc.", OU=VeriSign Trust Network, OU="(c) 2008 VeriSign, Inc. - For authorized use only", CN=VeriSign Universal Root Certification Authority Subject : C=US, O="VeriSign, Inc.", OU=VeriSign Trust Network, OU="(c) 2008 VeriSign, Inc. - For authorized use only", CN=VeriSign Universal Root Certification Authority Serial : 0x401AC46421B31321030EBBE4121AC51D SHA1 Hash : 3679ca35668772304d30a5fb873b0fa77bb70d54 SubjKeyID : b677fa6948479f5312d5c2ea07327607d1970719 Signature Algorithm : Unknown: 1.2.840.113549.1.1.11 PublicKey Algorithm : RSA (0 bits) Not valid before : 02/04/2008 00:00:00 UTC Not valid after : 01/12/2037 23:59:59 UTC PrivateKey Link : No тут далее еще 130 с лишним разных корневых сертификатов** ============================================================================= [ErrorCode: 0x00000000] При попытке сделать запрос, в логе Stunnel пишется вот это, ошибок тут я не увидел, по этому не могу понять куда дальше копать. Подскажите, пожалуйста, так как на той стороне мне сообщают что все работает корректно и проблема в моих настройках. https accepted FD=8 from 127.0.0.1:47210 client start https started FD 8 in non-blocking mode TCP_NODELAY option set on local socket FD 9 in non-blocking mode FD 10 in non-blocking mode Connection from 127.0.0.1:47210 permitted by libwrap https connected from 127.0.0.1:47210 Cleaning up the signal pipe Child process 2346 finished with code 0 FD 13 in non-blocking mode https connecting connect_wait: waiting 10 seconds connect_wait: connected Remote FD=13 initialized TCP_NODELAY option set on remote socket start SSPI connect try to read the client certificate open file /home/tuser1/client.cer with certificate Credentials complete 110 bytes of handshake data sent 1467 bytes of handshake(in handshake loop) data received. 215 bytes of handshake data sent 31 bytes of handshake(in handshake loop) data received. Handshake was successful PerformClientHandshake finish Verify_level = 0, skipping Server certificate verification add ssl read socket to pool ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0 Enter pool section on transfer data reciev from socket = 115 add ssl read socket to pool ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=115,want_rd = 0 Enter pool section on transfer SSPI_write start SSPI_write data is send all data after encrypt data send to ssl_socket =115 add ssl read socket to pool ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0 Enter pool section on transfer SSPI_read start recv ok on SSPI_read err= 514 Received 514 bytes from ssl socket SSPI_read data in ssl_buff is HTTP data read from ssl_sock =505 add ssl read socket to pool ssl_rd = 1, c->ssl_ptr = 505,c->sock_ptr=0,want_rd = 0 add write socket to poll Enter pool section on transfer data send to socket = 505 SSPI_read start recv ok on SSPI_read err= 0 recv return 0 and ask more but there is not complete data for decrypt. Peer disconnected? SSPI_read: read socket closed Socket write shutdown c->ssl_ptr = 0 Enter pool section on transfer Socket closed on read SSL write shutdown Enter pool section on transfer 11 bytes of close_notify data sent SSL_shutdown successfully sent close_notify Connection closed: 115 bytes sent to SSL, 505 bytes sent to socket free Buffers delete c->hContext delete c->hClientCreds incomp_mess = 2, extra_data = 0 https finished (0 left) Конфиu stunnel pid=/var/opt/cprocsp/tmp/stunnel_serv.pid output=/home/stunnel_serv.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [https] client = yes accept = scores-test.bki-okb.com:8080 (тут ранее пора не было но методом проб и ошибок понял что без порта туннель не поднимается) connect = 141.101.233.40:443 cert = /home/tuser1/client.cer verify = 0 в hosts так же указал домен БКИ на ip локалки 127.0.0.1 scores-test.bki-okb.com Версию сейчас поставил 4.0 так как на стороне сервера такая же, но до этого пробовал и на последней, результат был таким же при запросах. dpkg -l \| grep cprocsp ii cprocsp-cpopenssl-64 4.0.9963-5 amd64 OpenSSL. Build 9963. ii cprocsp-cpopenssl-base 4.0.9963-5 all Openssl common Build 9963. ii cprocsp-cpopenssl-gost-64 4.0.9963-5 amd64 OpenSSL capi_gost engine. Build 9963. ii cprocsp-curl-64 4.0.9963-5 amd64 CryptoPro Curl shared library and binaris. Build 9963. iU cprocsp-rdr-emv-64 4.0.9963-5 amd64 EMV/Gemalto support module iU cprocsp-rdr-inpaspot-64 4.0.9963-5 amd64 Inpaspot support module iU cprocsp-rdr-mskey-64 4.0.9963-5 amd64 Mskey support module iU cprocsp-rdr-novacard-64 4.0.9963-5 amd64 Novacard support module iU cprocsp-rdr-rutoken-64 4.0.9963-5 amd64 Rutoken support module ii cprocsp-stunnel-64 4.0.9963-5 amd64 Universal SSL/TLS tunnel. ii lsb-cprocsp-base 4.0.9963-5 all CryptoPro CSP directories and scripts. Build 9963. ii lsb-cprocsp-ca-certs 4.0.9963-5 all CA certificates. Build 9963. ii lsb-cprocsp-capilite-64 4.0.9963-5 amd64 CryptoAPI lite. Build 9963. ii lsb-cprocsp-kc1-64 4.0.9963-5 amd64 CryptoPro CSP KC1. Build 9963. ii lsb-cprocsp-pkcs11-64 4.0.9963-5 amd64 CryptoPro PKCS11. Build 9963. ii lsb-cprocsp-rdr-64 4.0.9963-5 amd64 CryptoPro CSP readers. Build 9963. Если нужно еще какие-то конфиги или вывод команд прислать, то я готов ) Сервер тестовый поднял на ОС Debian 11 П.С. Если получится решить вопрос в долгу не останусь


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

2bione		#2 Оставлено : 3 октября 2022 г. 14:52:46(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.09.2022(UTC) Сообщений: 5 Откуда: Саратов Сказал(а) «Спасибо»: 3 раз		Может быть причина ошибок в том, что мы использовали для тестирования пробную версию Крипто про ?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Русев		#3 Оставлено : 3 октября 2022 г. 16:05:51(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,499 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 607 раз в 420 постах		Здравствуйте. Похоже, вам нужен другой корневой. Как узнать правильный: делаете пробное подключение с опцией -savecert, чтобы сохранить сертификаты, полученные от сервера: Код: user@test-x64-astra212:~$ /opt/cprocsp/bin/amd64/csptest -tlsc -server scores-test.bki-okb.com -port 443 -file /api/v1/products/ch/strategies/person_gen7_cl_v1 -nosave -v -savecert /tmp/t.p7b ... Server certificate: Subject: E=pki@okb-bki.ru, C=RU, L=Moscow, O=UCB, CN=.bki-okb.com Valid : 21.12.2021 11:45:23 - 21.12.2022 11:55:23 (UTC) Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) PrivKey: 21.12.2021 11:45:23 - 21.12.2022 11:45:23 (UTC) Error 0x800b0109 (CERT_E_UNTRUSTEDROOT) returned by CertVerifyCertificateChainPolicy! ../../../../CSPbuild/CSP/samples/csptest/WebClient.c:1076:Error authenticating server credentials! Error 0x800b0109: Цепочка сертификатов обработана правильно, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. Total: SYS: 0,000 sec USR: 0,080 sec UTC: 0,110 sec [ErrorCode: 0x800b0109] Дальше их можно посмотреть: Код:* user@test-x64-astra212:~$ /opt/cprocsp/bin/amd64/certmgr -list -file /tmp/t.p7b Certmgr 1.1 (debug version) (c) "КРИПТО-ПРО", 2007-2022. Программа для работы с сертификатами, CRL и хранилищами. ============================================================================= 1------- Издатель : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Субъект : E=pki@okb-bki.ru, C=RU, L=Moscow, O=UCB, CN=.bki-okb.com Серийный номер : 0x03027CC40005AE9FA84C803C6E7AB2B403 SHA1 отпечаток : 00f27f7de78b458ba509b8168a123d25ca5bbf86 Идентификатор ключа : 8942ab32796463da15da52f82fc31cdbe2bc973c Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 512 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 256 бит (512 бит) Выдан : 21/12/2021 11:45:23 UTC Истекает : 21/12/2022 11:55:23 UTC Ссылка на ключ : Нет OCSP URL : http://ocsp.cryptopro.ru/ocsp2012/ocsp.srf URL сертификата УЦ : http://cpca20.cryptopro.ru/aia/1d5c58c03feb4407cf888dafae5382bb778ed464.crt URL списка отзыва : http://cdp.cryptopro.ru/cdp/1d5c58c03feb4407cf888dafae5382bb778ed464.crl URL списка отзыва : http://cpca20.cryptopro.ru/cdp/1d5c58c03feb4407cf888dafae5382bb778ed464.crl Назначение/EKU : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера ============================================================================= [ErrorCode: 0x00000000] Качаем "URL сертификата УЦ": Код:* `user@test-x64-astra212:~$ /opt/cprocsp/bin/amd64/curl http://cpca20.cryptopro.ru/aia/1d5c58c03feb4407cf888dafae5382bb778ed464.crt -o /tmp/root.cer % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 956 100 956 0 0 39833 0 --:--:-- --:--:-- --:--:-- 39833` Ставим нужный корень (в вашей выдаче не было корневого с отпечатком 425fe75d8f3b23b13c508ba834428d365c07436b): Код: user@test-x64-astra212:~$ /opt/cprocsp/bin/amd64/certmgr -inst -store uroot -file /tmp/root.cer Certmgr 1.1 (debug version) (c) "КРИПТО-ПРО", 2007-2022. Программа для работы с сертификатами, CRL и хранилищами. Идёт установка: ============================================================================= 1------- Издатель : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Субъект : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Серийный номер : 0x0317BE3301C1AC17A948CF46A8C4F46F4D SHA1 отпечаток : 425fe75d8f3b23b13c508ba834428d365c07436b Идентификатор ключа : 1d5c58c03feb4407cf888dafae5382bb778ed464 Алгоритм подписи : ГОСТ Р 34.11-2012/34.10-2012 512 бит Алгоритм откр. кл. : ГОСТ Р 34.10-2012 512 бит (1024 бит) Выдан : 31/01/2021 18:30:28 UTC Истекает : 31/01/2036 18:30:28 UTC Ссылка на ключ : Нет ============================================================================= CPCSP: Внимание: установка корневого сертификата с неподтвержденным отпечатком представляет риск для безопасности. Вы хотите установить этот сертификат? Субъект: УЦ КРИПТО-ПРО (ГОСТ 2012) Отпечаток (sha1): 425FE75D8F3B23B13C508BA834428D365C07436B (o)ОК, (c)Отмена o [ErrorCode: 0x00000000] Перепроверяем, что теперь TLS-соединение не обрывается на проверке цепочки: Код: user@test-x64-astra212:~$ /opt/cprocsp/bin/amd64/csptest -tlsc -server scores-test.bki-okb.com -port 443 -file /api/v1/products/ch/strategies/person_gen7_cl_v1 -nosave -v ... Server certificate: Subject: E=pki@okb-bki.ru, C=RU, L=Moscow, O=UCB, CN=.bki-okb.com Valid : 21.12.2021 11:45:23 - 21.12.2022 11:55:23 (UTC) Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) PrivKey: 21.12.2021 11:45:23 - 21.12.2022 11:45:23 (UTC) SECPKG_ATTR_STREAM_SIZES: Header: 5, Trailer: 4, MaxMessage: 16384 SECPKG_ATTR_STREAM_SIZES: Buffers: 4, BlockSize: 1 SECPKG_ATTR_SIZES: MaxToken: 16384 SECPKG_ATTR_SIZES: MaxSignature: 4 SECPKG_ATTR_SIZES: BlockSize: 1 SECPKG_ATTR_SIZES: SecurityTrailer: 9 HTTP request: GET /api/v1/products/ch/strategies/person_gen7_cl_v1 HTTP/1.1 User-Agent: Webclient Accept:/* Host: scores-test.bki-okb.com Connection: close Sending plaintext: 150 bytes 168 bytes of application data sent 13 bytes of (encrypted) application data received Decrypted data: 0 bytes Server requested renegotiate! 156 bytes of handshake data sent 1368 bytes of handshake data received 2736 bytes of handshake data received 2736 bytes of handshake data received 1564 bytes of handshake data received Server requested new credentials! Trying to create new credential ... У меня клиентского сертификата для соединения нет, поэтому соединение закономерно завершается ошибкой: Код: ... Issuers: 34, Length: 6983 bytes Can not find client certificate with received issuers, trying server certificate Issuer Name Issuer 0: E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012) Issuers: 1, Length: 190 bytes ../../../../CSPbuild/CSP/samples/csptest/WebClient.c:3118:Error finding cert chain Error 0x80092004: Объект или свойство не найдено. 239 bytes of handshake data sent 35 bytes of handshake data received Handshake was successful 1398 bytes of (encrypted) application data received Decrypted data: 1389 bytes No data in socket: OK if file is completely downloaded Reply status: HTTP/1.1 403 Forbidden ../../../../CSPbuild/CSP/samples/csptest/WebClient.c:2694:Bad HTTP status. Error 0x80092004: Объект или свойство не найдено. HttpsGetFile: 0x00000193 ../../../../CSPbuild/CSP/samples/csptest/WebClient.c:1093:Error fetching file from server. Error 0x193: Total: SYS: 0,000 sec USR: 0,110 sec UTC: 0,160 sec [ErrorCode: 0x00000193] Но у вас должно соединяться.
		Официальная техподдержка. Официальная база знаний.

2 пользователей поблагодарили Русев Андрей за этот пост.		2bione оставлено 04.10.2022(UTC), Саша Че оставлено 22.05.2023(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

2bione		#4 Оставлено : 3 октября 2022 г. 21:15:14(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.09.2022(UTC) Сообщений: 5 Откуда: Саратов Сказал(а) «Спасибо»: 3 раз		Автор: Андрей Русев Ставим нужный корень (в вашей выдаче не было корневого с отпечатком 425fe75d8f3b23b13c508ba834428d365c07436b): Тот который вы указали у меня он был установлен и в первом сообщении, он был в спойлере (/opt/cprocsp/bin/amd64/certmgr -l -store uRoot) под номером 4. Тем не менее, я еще раз скачал корневой сертификат по вашей инструкции и установил его повторно. Автор: Андрей Русев Перепроверяем, что теперь TLS-соединение не обрывается на проверке цепочки: Вот тут я получил такой же результат при условии что в hosts я закомментировал хост scores-test.bki-okb.com. Я верно понимаю, чтобы мне сделать корректный запрос в ОКБ надо его делать через stunnel для шифрования клиентским ключем и при этом, хост scores-test.bki-okb.com нужно прописать на адрес 127.0.0.1 ? Забегая вперед я попробовал так сделать, то есть в hosts добавил 127.0.0.1 scores-test.bki-okb.com после запустил Stunnel c этим конфигом Код: `pid=/var/opt/cprocsp/tmp/stunnel_serv.pid output=/home/stunnel_serv.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [https] client = yes accept = scores-test.bki-okb.com:8090 connect = 141.101.233.40:443 cert = /home/tuser1/client.cer verify = 0` Далее сделал запрос curl на сервер ОКБ и получил такой результат с ошибкой Код: root@localhost:~# /opt/cprocsp/bin/amd64/curl -v https://scores-test.bki-okb.com:8090/api/v1/products/ch/strategies/person_gen7_cl_v1 * Trying 127.0.0.1:8090... * TCP_NODELAY set * Connected to scores-test.bki-okb.com (127.0.0.1) port 8090 (#0) * schannel: next InitializeSecurityContext failed: SEC_E_INVALID_TOKEN (0x80090308) - The token supplied to the function is invalid * Closing connection 0 * schannel: shutting down SSL/TLS connection with scores-test.bki-okb.com port 8090 curl: (35) schannel: next InitializeSecurityContext failed: SEC_E_INVALID_TOKEN (0x80090308) - The token supplied to the function is invalid И вот еще лог Stunnel-а Код: ...: https accepted FD=7 from 127.0.0.1:38460 ...: client start ...: https started ...: FD 7 in non-blocking mode ...: TCP_NODELAY option set on local socket ...: https connected from 127.0.0.1:38460 ...: FD 12 in non-blocking mode ...: https connecting ...: connect_wait: waiting 10 seconds ...: connect_wait: connected ...: Remote FD=12 initialized ...: TCP_NODELAY option set on remote socket ...: start SSPI connect ...: try to read the client certificate ...: open file /home/tuser1/client.cer with certificate ...: Credentials complete ...: 121 bytes of handshake data sent ...: 1467 bytes of handshake(in handshake loop) data received. ...: 215 bytes of handshake data sent ...: 31 bytes of handshake(in handshake loop) data received. ...: Handshake was successful ...: PerformClientHandshake finish ...: Verify_level = 0, skipping Server certificate verification ...: add ssl read socket to pool ...: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0 ...: Enter pool section on transfer ...: !!!!!Call s_poll_wait with timeout = -1 ((sock_rd && ssl_rd)=1) c->ssl_ptr = 0 c->sock_ptr=0 ...: data reciev from socket = 182 ...: add ssl read socket to pool ...: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=182,want_rd = 0 ...: Enter pool section on transfer ...: !!!!!Call s_poll_wait with timeout = -1 ((sock_rd && ssl_rd)=1) c->ssl_ptr = 0 c->sock_ptr=b6 ...: SSPI_write start ...: SSPI_write data is ...: send all data after encrypt ...: data send to ssl_socket =182 ...: add ssl read socket to pool ...: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0 ...: Enter pool section on transfer ...: !!!!!Call s_poll_wait with timeout = -1 ((sock_rd && ssl_rd)=1) c->ssl_ptr = 0 c->sock_ptr=0 ...: SSPI_read start ...: recv ok on SSPI_read err= 514 ...: Received 514 bytes from ssl socket ...: SSPI_read data in ssl_buff is HTTP ...: data read from ssl_sock =505 ...: add ssl read socket to pool ...: ssl_rd = 1, c->ssl_ptr = 505,c->sock_ptr=0,want_rd = 0 ...: add write socket to poll ...: Enter pool section on transfer ...: !!!!!Call s_poll_wait with timeout = -1 ((sock_rd && ssl_rd)=1) c->ssl_ptr = 1f9 c->sock_ptr=0 ...: data send to socket = 505 ...: SSPI_read start ...: recv ok on SSPI_read err= 0 ...: recv return 0 and ask more but there is not complete data for decrypt. Peer disconnected? ...: SSPI_read: read socket closed ...: Socket write shutdown ...: c->ssl_ptr = 0 ...: Enter pool section on transfer ...: !!!!!Call s_poll_wait with timeout = 60 ((sock_rd && ssl_rd)=0) c->ssl_ptr = 0 c->sock_ptr=0 ...: data reciev from socket = 7 ...: Enter pool section on transfer ...: !!!!!Call s_poll_wait with timeout = -1 ((sock_rd && ssl_rd)=0) c->ssl_ptr = 0 c->sock_ptr=7 ...: SSPI_write start ...: SSPI_write data is ...: send all data after encrypt ...: data send to ssl_socket =7 ...: Socket closed on read ...: SSL write shutdown ...: Enter pool section on transfer ...: !!!!!Call s_poll_wait with timeout = 60 ((sock_rd && ssl_rd)=0) c->ssl_ptr = 0 c->sock_ptr=0 ...: 11 bytes of close_notify data sent ...: SSL_shutdown successfully sent close_notify ...: Connection closed: 189 bytes sent to SSL, 505 bytes sent to socket ...: free Buffers ...: delete c->hContext ...: delete c->hClientCreds ...: incomp_mess = 2, extra_data = 0 ...: https finished (0 left)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Русев		#5 Оставлено : 4 октября 2022 г. 13:30:19(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,499 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 607 раз в 420 постах		Кажется, ваша ошибка в том, что вы ходите на локальный адрес (вход stunnel-а) по https, или я не уловил вашу задачу. То есть самый простой конфиг выглядел бы так (ноль в verify нехорошо использовать): Код: `pid=/var/opt/cprocsp/tmp/stunnel_serv.pid output=/home/stunnel_serv.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [https] client = yes accept = 127.0.0.1:8080 connect = 141.101.233.40:443 cert = /home/tuser1/client.cer verify = 2` обращения выглядели бы так (наш curl не требуется, так как TLS есть только от stunnel до НБКИ): Код: `curl -v http://127.0.0.1:8080/api/v1/products/ch/strategies/person_gen7_cl_v1`
		Официальная техподдержка. Официальная база знаний.

1 пользователь поблагодарил Русев Андрей за этот пост.		2bione оставлено 04.10.2022(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

2bione		#6 Оставлено : 4 октября 2022 г. 15:51:13(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.09.2022(UTC) Сообщений: 5 Откуда: Саратов Сказал(а) «Спасибо»: 3 раз		Да Вы были правы, в с такими настройками запросы дошли до адресата и вернули понятный ответ от сервера. Спасибо, еще раз за помощь в настройке! Еще такой вопрос по лицензии. Я верно понимаю, что нужно купить лицензию для этой ОС и указать ее на сервере? Если да, то можете подсказать какую лучше выбрать, чтобы эта интеграция работала бесперебойно? Код: `root@localhost:~# /opt/cprocsp/sbin/amd64/cpconfig -license -view License validity: 5050010037ELQF5H28KM8E6BA Expires: 89 day(s) License type: Demo.`


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Русев		#7 Оставлено : 4 октября 2022 г. 21:01:32(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,499 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 607 раз в 420 постах		Лицензии на КриптоПро CSP не разделяются по ОС. В целом вам нужна лицензия на КриптоПро CSP 5.0. Вопрос в том, серверная вам нужна лицензия или клиентская. Это определяется тем, как используется провайдер. Если это массовое обслуживание, то нужна серверная лицензия. Если обслуживается один пользователь, то клиентская. https://www.cryptopro.ru...80%d1%81%d0%b8%d0%b8+5.0
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

2bione		#8 Оставлено : 5 октября 2022 г. 11:45:27(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 29.09.2022(UTC) Сообщений: 5 Откуда: Саратов Сказал(а) «Спасибо»: 3 раз		Мы планируем использовать лицензию для обмена данными по API с одним бюро кредитных историй. То есть, у нас будет обслуживаться в понимании лицензии КриптоПро всего 1 клиент, я верно понимаю ? Если да, то вот такая лицензия подойдет для нас "Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на одном рабочем месте" ?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Русев		#9 Оставлено : 5 октября 2022 г. 12:40:19(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,499 Сказал(а) «Спасибо»: 42 раз Поблагодарили: 607 раз в 420 постах		Да, верно.
		Официальная техподдержка. Официальная база знаний.

1 пользователь поблагодарил Русев Андрей за этот пост.		2bione оставлено 05.10.2022(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close