Статус: Участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 23  Откуда: Москва
|
Хотя, на это чистой машине добавили в личные еще один сертификат, плагин отработал без ошибок...
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва
|
Вопрос не в том, сколько сертификатов добавлено в хранилище, а в том, к какому из них, в случае отсутствия четких установок, по умолчанию обращается Stunnel - если не к тому, то финита ля комедия Отредактировано пользователем 14 декабря 2022 г. 18:04:33(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва
|
Автор: ew-mc  По всей вероятности, соответствующий мануал под названием "ЖТЯИ.00101-02 93 03. Приложения для создания TLS-туннеля.pdf", входил у нас в состав лицензионного диска с КриптоПро CSP. Но не суть, в приведенной Вами инструкции, пример файла конфигурации с сертификатом для клиента Stunnel тоже есть: output=c:\stun-cli\stun.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [https] client = yes accept=comp1:1500 connect = srv1.test.ru:1502 cert=C:\stun-cli\clicer.cer verify=2 Отредактировано пользователем 14 декабря 2022 г. 18:25:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва
|
Автор: ИгорьК Да, у нас на новой чистой машине тоже заработало, когда в Личном только один сертификат
Но как с этим работать?
пробовал явно указать в конфиге сертификат (cert = c:\stunnel\myCert.cer)
так ругается, что не находит его... Согласен, работать только с одним сертификатом абсолютно невозможно. Для выполнения бизнес задач требуется как минимум несколько сертификатов. А то и 5 - 10 штук. Я решил проблему. Да и вы тоже почти решили. В конфиге Вы все правильно написали "cert = c:\stunnel\myCert.cer" Далее Вам надо привязать к сертификату "myCert.cer" закрытый ключ для этого сертификата. Для этого в КриптоПро CSP идем во вкладку "Сервис". Далее кнопка "Установить личный сертификат". Далее "Обзор", идем в "c:\stunnel\" Далее выбираем наш "myCert.cer" , опять "Далее", опять "Далее", Найти контейнер закрытого ключа через "Обзор", опять "Далее". Все, проверяйте на https://www.cryptopro.ru.../cades_xlong_sample.html
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва
|
Протестил, подписывает и КриптоПро ЭЦП Browser plug-in и с помощью КриптоАРМ
Рабочий конфиг выглядит так:
verify = 0
output = C:\Stunnel\stunnel_cli.log
service = Stunnel
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[tls1-client-https-1]
client = yes
accept = 127.0.0.1:10001
connect = 212.40.XXX.XX:443
[tls1-client-https-2]
client = yes
accept = 127.0.0.1:10002
connect = 212.40.XXX.XX:443
cert = c:\Stunnel\NNNN.cer
где
X - цифры части ip, которые вам известны. Затер для конспирации)), в конфиге от ЦБ если что;
N - произвольные латинские буквы имени сертификата
Завтра при заходе в рабочий домен мне система безопасности набросает сертификатов в личные папки - проверим!
Но уже сейчас там несколько "не нужных" мне сертификатов. Пока работает.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва
|
Автор: ew-mc Согласен, работать только с одним сертификатом абсолютно невозможно. Для выполнения бизнес задач требуется как минимум несколько сертификатов. А то и 5 - 10 штук. Я решил проблему. Да и вы тоже почти решили. В конфиге Вы все правильно написали "cert = c:\stunnel\myCert.cer" Далее Вам надо привязать к сертификату "myCert.cer" закрытый ключ для этого сертификата. Для этого в КриптоПро CSP идем во вкладку "Сервис". Далее кнопка "Установить личный сертификат". Далее "Обзор", идем в "c:\stunnel\" Далее выбираем наш "myCert.cer" , опять "Далее", опять "Далее", Найти контейнер закрытого ключа через "Обзор", опять "Далее". Все, проверяйте на https://www.cryptopro.ru.../cades_xlong_sample.html Почему "почти"? Обижаете, мы решили задачу полностью)) При этом, у нас в справочнике установлено множество личных сертификатов. Выше мною просто процитирован вариант примера конфигурации из Вашего же мануала Stunnel. Единственное отличие в том, что, как сказано мною в одном из предыдущих постов, в нашем случае пришлось совершить дополнительное действие - после установки исходного личного сертификата стандартным методом, о котором Вы говорите, пришлось выгрузить его в требуемое место из справочника CSP, а не просто взять и скопировать его по пути, указанному в файле конфигурации. Отредактировано пользователем 14 декабря 2022 г. 20:18:24(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва
|
Автор: ew-mc
Протестил, подписывает и КриптоПро ЭЦП Browser plug-in и с помощью КриптоАРМ
Рабочий конфиг выглядит так:
verify = 0
output = C:\Stunnel\stunnel_cli.log
service = Stunnel
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[tls1-client-https-1]
client = yes
accept = 127.0.0.1:10001
connect = 212.40.XXX.XX:443
[tls1-client-https-2]
client = yes
accept = 127.0.0.1:10002
connect = 212.40.XXX.XX:443
cert = c:\Stunnel\NNNN.cer
Да, подтверждаю, наша конфигурация в точности такая же. Хотя, вру, в конце у нас еще параметр "verify = 2" (+ проверка цепочки сертификатов до 2-го уровня). Отредактировано пользователем 14 декабря 2022 г. 20:26:42(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва
|
Автор: Dmitry-G Автор: ew-mc Согласен, работать только с одним сертификатом абсолютно невозможно. Для выполнения бизнес задач требуется как минимум несколько сертификатов. А то и 5 - 10 штук. Я решил проблему. Да и вы тоже почти решили. В конфиге Вы все правильно написали "cert = c:\stunnel\myCert.cer" Далее Вам надо привязать к сертификату "myCert.cer" закрытый ключ для этого сертификата. Для этого в КриптоПро CSP идем во вкладку "Сервис". Далее кнопка "Установить личный сертификат". Далее "Обзор", идем в "c:\stunnel\" Далее выбираем наш "myCert.cer" , опять "Далее", опять "Далее", Найти контейнер закрытого ключа через "Обзор", опять "Далее". Все, проверяйте на https://www.cryptopro.ru.../cades_xlong_sample.html Почему "почти"? Обижаете, мы решили задачу полностью)) При этом, у нас в справочнике установлено множество личных сертификатов. Выше мною просто процитирован вариант примера конфигурации из Вашего же мануала Stunnel. Единственное отличие в том, что, как сказано мною в одном из предыдущих постов, в нашем случае пришлось совершить дополнительное действие - после установки исходного личного сертификата стандартным методом, о котором Вы говорите, пришлось выгрузить его в требуемое место из справочника CSP, а не просто взять и скопировать его по пути, указанному в файле конфигурации. Дмитрий, вопросов нет, Вы первый к финишу добежали и нам подсказали куда грести! Еще раз Вам спасибо! Я ИгорюК ответил на его фразу "пробовал явно указать в конфиге сертификат (cert = c:\stunnel\myCert.cer) так ругается, что не находит его..."
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва
|
Автор: ew-mc Автор: Dmitry-G Автор: ew-mc Согласен, работать только с одним сертификатом абсолютно невозможно. Для выполнения бизнес задач требуется как минимум несколько сертификатов. А то и 5 - 10 штук. Я решил проблему. Да и вы тоже почти решили. В конфиге Вы все правильно написали "cert = c:\stunnel\myCert.cer" Далее Вам надо привязать к сертификату "myCert.cer" закрытый ключ для этого сертификата. Для этого в КриптоПро CSP идем во вкладку "Сервис". Далее кнопка "Установить личный сертификат". Далее "Обзор", идем в "c:\stunnel\" Далее выбираем наш "myCert.cer" , опять "Далее", опять "Далее", Найти контейнер закрытого ключа через "Обзор", опять "Далее". Все, проверяйте на https://www.cryptopro.ru.../cades_xlong_sample.html Почему "почти"? Обижаете, мы решили задачу полностью)) При этом, у нас в справочнике установлено множество личных сертификатов. Выше мною просто процитирован вариант примера конфигурации из Вашего же мануала Stunnel. Единственное отличие в том, что, как сказано мною в одном из предыдущих постов, в нашем случае пришлось совершить дополнительное действие - после установки исходного личного сертификата стандартным методом, о котором Вы говорите, пришлось выгрузить его в требуемое место из справочника CSP, а не просто взять и скопировать его по пути, указанному в файле конфигурации. Дмитрий, вопросов нет, Вы первый к финишу добежали и нам подсказали куда грести! Еще раз Вам спасибо! Я ИгорюК ответил на его фразу "пробовал явно указать в конфиге сертификат (cert = c:\stunnel\myCert.cer) так ругается, что не находит его..." Да что уж там, принято)) Просто Вы использовали выражение "В конфиге Вы все правильно написали", поэтому я и решил, что обращаетесь ко всем. Кстати, одна из наиредчайших ситуаций, когда точки над "ё" имеют значение) Отредактировано пользователем 14 декабря 2022 г. 21:01:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 23 Откуда: Москва
|
Увы, ничего не помогает
все сертификаты удалил из личного
Установил нужный с привязкой к контейнеру
все те же ошибки
web от крипто говорит
Не удалось создать подпись из-за ошибки: При попытке отправки запроса возникла ошибка HTTP (0xC2100100)
Лог stunnel все пишется - про этот лог поддержка КриптоПро отвечает
"Уточните, о какой именно ошибке идёт речь?
Судя по логу handshake успешен, данные в туннель идут."
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
