Чтобы заработала служба Stunnel Service, конфигурационный файл stunnel.conf следует положить в System32 (использую Win10 64bit), после этого указанная служба этот файл увидит. О чем, правда, ни слова не сказано в инструкции от УЦ ЦБ РФ от 08.11.2022, но зато говорится в мануале на Stunnel, входящем в состав КриптоПро CSP.
Однако, ни успешный запуск данной службы, ни рекомендации выше в данной ветке, не избавляют нас от проблемы подключения к обозначенному серверу штампов времени. Все сертификаты должным образом установлены - как в хранилище текущего пользователя (права - админ), так и в хранилище локального компьютера. Установленный в эти хранилища средствами CSP личный сертификат, выданный аккредитованным УЦ БР, расширение "Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)" имеет. Все тесты контейнеров средствами CSP (по каждому из хранилищ) проходят успешно, в свойства промежуточных сертификатов ЦБ РФ соответствующие адреса OCSP добавлены, строка "127.0.0.1 localhost tsp1.ca.cbr.ru" в файл без расширения "C:\Windows\System32\drivers\etc\hosts" записана, лицензии на CSP, TSP и OCSP активны...
Пробовали и в связке с Крипто АРМ ГОСТ, и в связке с КриптоПро ЭЦП Browser plug-in со страницы
https://www.cryptopro.ru.../cades_xlong_sample.html - результат один и тот же. А в результате возникает окно выбора сертификата, а затем окно ввода пароля, но после соответствующих выбора и ввода, подключения все равно не происходит. Предлагаемая выше замена адресов службы времени УЦ ЦБ с "http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf" и "http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf" на "https://tsp1.ca.cbr.ru/tsp/tsp.srf" и "https://tsp2.ca.cbr.ru/tsp/tsp.srf", а также точек распространения списков отзыва на "https://tsp1.ca.cbr.ru/ocsp" и "https://tsp1.ca.cbr.ru/ocsp" ни к чему хорошему не приводит, кроме того, что по понятной причине, вместо того, чтобы использовать канал Stunnel, указанные приложения пытаются подключиться к серверу установки меток времени напрямую.
А конкретика следующая:
При запуске Stunnel Service от имени текущего пользователя видим следующий лог Stunnel:
2022.12.08 19:00:12 LOG5[3672:17856]: stunnel 4.18 on x86-pc-unknown
2022.12.08 19:00:12 LOG5[3672:17856]: Threading:WIN32 Sockets:SELECT,IPv6
2022.12.08 19:00:12 LOG5[3672:17856]: No limit detected for the number of clients
2022.12.08 19:00:12 LOG7[3672:17856]: FD 300 in non-blocking mode
2022.12.08 19:00:12 LOG7[3672:17856]: SO_REUSEADDR option set on accept socket
2022.12.08 19:00:12 LOG7[3672:17856]: tls1-client-https-1 bound to 127.0.0.1:10001
2022.12.08 19:00:12 LOG7[3672:17856]: FD 304 in non-blocking mode
2022.12.08 19:00:12 LOG7[3672:17856]: SO_REUSEADDR option set on accept socket
2022.12.08 19:00:12 LOG7[3672:17856]: tls1-client-https-2 bound to 127.0.0.1:10002
2022.12.08 19:10:16 LOG7[3672:17856]: tls1-client-https-1 accepted FD=308 from 127.0.0.1:60985
2022.12.08 19:10:16 LOG7[3672:17856]: Creating a new thread
2022.12.08 19:10:16 LOG7[3672:17856]: New thread created
2022.12.08 19:10:16 LOG7[3672:18488]: client start
2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 started
2022.12.08 19:10:16 LOG7[3672:18488]: FD 308 in non-blocking mode
2022.12.08 19:10:16 LOG7[3672:18488]: TCP_NODELAY option set on local socket
2022.12.08 19:10:16 LOG5[3672:18488]: tls1-client-https-1 connected from 127.0.0.1:60985
2022.12.08 19:10:16 LOG7[3672:18488]: FD 384 in non-blocking mode
2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 connecting
2022.12.08 19:10:16 LOG7[3672:18488]: connect_wait: waiting 10 seconds
2022.12.08 19:10:16 LOG7[3672:18488]: connect_wait: connected
2022.12.08 19:10:16 LOG7[3672:18488]: Remote FD=384 initialized
2022.12.08 19:10:16 LOG7[3672:18488]: TCP_NODELAY option set on remote socket
2022.12.08 19:10:16 LOG7[3672:18488]: start SSPI connect
2022.12.08 19:10:16 LOG3[3672:18488]: Credentials complete
2022.12.08 19:10:16 LOG7[3672:18488]: 166 bytes of handshake data sent
2022.12.08 19:10:16 LOG5[3672:18488]: 1318 bytes of handshake(in handshake loop) data received.
2022.12.08 19:10:16 LOG5[3672:18488]: 1627 bytes of handshake(in handshake loop) data received.
2022.12.08 19:10:16 LOG5[3672:18488]: certificate chain found
2022.12.08 19:10:16 LOG5[3672:18488]: new schannel credential created
2022.12.08 19:10:16 LOG3[3672:18488]: **** Error 0x8009030d returned by InitializeSecurityContext (2)
2022.12.08 19:10:16 LOG3[3672:18488]: Error performing handshake
2022.12.08 19:10:16 LOG5[3672:18488]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.12.08 19:10:16 LOG7[3672:18488]: free Buffers
2022.12.08 19:10:16 LOG7[3672:18488]: delete c->hContext
2022.12.08 19:10:16 LOG7[3672:18488]: delete c->hClientCreds
2022.12.08 19:10:16 LOG5[3672:18488]: incomp_mess = 0, extra_data = 1
2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 finished (0 left)
А при запуске Stunnel Service от имени локальной системы - следующий:
2022.12.08 20:43:02 LOG5[16664:1744]: stunnel 4.18 on x86-pc-unknown
2022.12.08 20:43:02 LOG5[16664:1744]: Threading:WIN32 Sockets:SELECT,IPv6
2022.12.08 20:43:02 LOG5[16664:1744]: No limit detected for the number of clients
2022.12.08 20:43:02 LOG7[16664:1744]: FD 296 in non-blocking mode
2022.12.08 20:43:02 LOG7[16664:1744]: SO_REUSEADDR option set on accept socket
2022.12.08 20:43:02 LOG7[16664:1744]: tls1-client-https-1 bound to 127.0.0.1:10001
2022.12.08 20:43:02 LOG7[16664:1744]: FD 300 in non-blocking mode
2022.12.08 20:43:02 LOG7[16664:1744]: SO_REUSEADDR option set on accept socket
2022.12.08 20:43:02 LOG7[16664:1744]: tls1-client-https-2 bound to 127.0.0.1:10002
2022.12.08 20:44:38 LOG7[16664:1744]: tls1-client-https-1 accepted FD=304 from 127.0.0.1:61710
2022.12.08 20:44:38 LOG7[16664:1744]: Creating a new thread
2022.12.08 20:44:38 LOG7[16664:1744]: New thread created
2022.12.08 20:44:38 LOG7[16664:22504]: client start
2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 started
2022.12.08 20:44:38 LOG7[16664:22504]: FD 304 in non-blocking mode
2022.12.08 20:44:38 LOG7[16664:22504]: TCP_NODELAY option set on local socket
2022.12.08 20:44:38 LOG5[16664:22504]: tls1-client-https-1 connected from 127.0.0.1:61710
2022.12.08 20:44:38 LOG7[16664:22504]: FD 380 in non-blocking mode
2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 connecting
2022.12.08 20:44:38 LOG7[16664:22504]: connect_wait: waiting 10 seconds
2022.12.08 20:44:38 LOG7[16664:22504]: connect_wait: connected
2022.12.08 20:44:38 LOG7[16664:22504]: Remote FD=380 initialized
2022.12.08 20:44:38 LOG7[16664:22504]: TCP_NODELAY option set on remote socket
2022.12.08 20:44:38 LOG7[16664:22504]: start SSPI connect
2022.12.08 20:44:38 LOG3[16664:22504]: Credentials complete
2022.12.08 20:44:38 LOG7[16664:22504]: 166 bytes of handshake data sent
2022.12.08 20:44:38 LOG5[16664:22504]: 1318 bytes of handshake(in handshake loop) data received.
2022.12.08 20:44:38 LOG5[16664:22504]: 1627 bytes of handshake(in handshake loop) data received.
2022.12.08 20:44:38 LOG5[16664:22504]: CertFindChainInStore not find certificate in store. Looking at LOCAL_MACHINE
2022.12.08 20:44:38 LOG5[16664:22504]: certificate chain found
2022.12.08 20:44:38 LOG5[16664:22504]: new schannel credential created
2022.12.08 20:44:38 LOG3[16664:22504]: **** Error 0x8009035d returned by InitializeSecurityContext (2)
2022.12.08 20:44:38 LOG3[16664:22504]: Error performing handshake
2022.12.08 20:44:38 LOG5[16664:22504]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.12.08 20:44:38 LOG7[16664:22504]: free Buffers
2022.12.08 20:44:38 LOG7[16664:22504]: delete c->hContext
2022.12.08 20:44:38 LOG7[16664:22504]: delete c->hClientCreds
2022.12.08 20:44:38 LOG5[16664:22504]: incomp_mess = 0, extra_data = 1
2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 finished (0 left)
Как я уже говорил, все сертификаты (включая личный) установлены средствами CSP, должным образом и корректно.
