Статус: Участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 23  Откуда: Москва
|
Поддержка КриптоПро попросила запустить тест
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server 212.40.208.62 –v
все пошло хорошо, но в конце
Server certificate:
Subject: CN=212.40.208.62
Valid : 05.09.2022 13:24:27 - 03.09.2032 13:24:27 (UTC)
Issuer : SERIALNUMBER=20220906132427, CN=Ideco UTM
CA subject: SERIALNUMBER=20220906132427, CN=Ideco UTM
CA issuer : SERIALNUMBER=20220906132427, CN=Ideco UTM
Error 0x80092012 ((unknown)) returned by CertVerifyCertificateChainPolicy!
Total: SYS: 0.063 sec USR: 0.031 sec UTC: 12.355 sec
[ErrorCode: 0x80092012] Error authenticating server credentials
Функция отзыва не смогла произвести проверку отзыва сертификата
разбираемся дальше
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 23 Откуда: Москва
|
Разобрались с нашими сетевиками
Мне недостаточно было поменять основной шлюз в сетевых настройках, который напрямую в интернет идет
Надо было еще переключиться с автоматического получения адреса в настройках сетевого адаптера , на ручной с явным указанием своего IP и прочая
Иначе весть трафик шел через локальную сеть и при выходе в интернет что то с ним случалось
Об этом и поддержка ЦБ говорила, а я был уверен, что одной смены основного шлюза было достаточно.
Сейчас получаю подпись со штампом времени.
И сертификатов в личном полно, как и было.
Попрошу наших сетевиков придумать прямой проброс из локалки
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва
|
Игорь, а можете скинуть рекомендации поддержки ЦБ? Мне непонятно почему траффик не ломается если сертификат один в хранилище и ломается если сертификатов несколько....
Мы сейчас можем подписывать только если сертификат в хранилище один. Как только добавляются другие сертификаты, всё ломается. Нам ссылка на сертификат в конфиге не помогает.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 23 Откуда: Москва
|
Сетевики убрали на Ideco проверку траффика по этим IP (212.40.208.62 и 212.40.193.62) и через локалку тоже все заработало!
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 23 Откуда: Москва
|
Автор: ew-mc  Игорь, а можете скинуть рекомендации поддержки ЦБ? Мне непонятно почему траффик не ломается если сертификат один в хранилище и ломается если сертификатов несколько....
Мы сейчас можем подписывать только если сертификат в хранилище один. Как только добавляются другие сертификаты, всё ломается. Нам ссылка на сертификат в конфиге не помогает. Так ЦБ ничего нового не посоветовало (они сразу говорили, проверьте ваши прокси, что бы не лезло в анализ трафика!) Лучше выполните это, от КриптоПРо, и посмотрите что будет Цитата:Запустите cmd и выполните последовательно:
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server 212.40.208.62 -v
и
"C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server 212.40.193.62 -v
Приложите полный вывод.
Сертификат запрашивается при выполнении?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва
|
Выполнил, ошибка одинаковая:
Server certificate:
Subject: C=RU, S=77 г. Москва, L=г. Москва, STREET="ул. Неглинная, д. 12", O=Банк России, CN=Центральный банк Российской Федерации, ОГРН=1037700013020, OID.1.2.643.100.4=7702235133
Valid : 06.10.2021 16:36:34 - 30.08.2036 12:32:44 (UTC)
Issuer : C=RU, S=77 г. Москва, L=г. Москва, STREET="ул. Неглинная, д. 12", O=Банк России, CN=Центральный банк Российской Федерации, ОГРН=1037700013020, ИНН=007702235133
PrivKey: 06.10.2021 16:36:34 - 06.01.2023 16:36:33 (UTC)
Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
An error occurred in running the program.
WebClient.c:794:Error authenticating server credentials!
Error number 0x800b010f (-2146762481).
CN-имя сертификата не совпадает с полученным значением.
Total: SYS: 0,156 sec USR: 0,078 sec UTC: 0,606 sec
[ErrorCode: 0x800b010f]
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 23 Откуда: Москва
|
Кстати, у нас такая же ошибка csptest.exe
(я им в ЦБ переслал ее)
но и WEB и КриптоАрм ГОСТ работают!
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва
|
Автор: ИгорьК Разобрались с нашими сетевиками
Мне недостаточно было поменять основной шлюз в сетевых настройках, который напрямую в интернет идет
Надо было еще переключиться с автоматического получения адреса в настройках сетевого адаптера , на ручной с явным указанием своего IP и прочая
Иначе весть трафик шел через локальную сеть и при выходе в интернет что то с ним случалось
Об этом и поддержка ЦБ говорила, а я был уверен, что одной смены основного шлюза было достаточно.
Сейчас получаю подпись со штампом времени.
И сертификатов в личном полно, как и было.
Попрошу наших сетевиков придумать прямой проброс из локалки Добрый день, коллеги! Игорь, вопрос, что называется, "на засыпку")) Как же у Вас, без изменения обозначенных выше сетевых настроек, раньше все заработало с одним сертификатом в справочнике?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.01.2017(UTC) Сообщений: 23 Откуда: Москва
|
Автор: Dmitry-G
Игорь, вопрос, что называется, "на засыпку")) Как же у Вас, без изменения обозначенных выше сетевых настроек, раньше все заработало с одним сертификатом в справочнике?
Не, я же написал, что на новой, чистой. Наши сетевики сделали новую виртуалку с прямым выходом в интернет - и там все отработало. Чуть раньше у нас был прокси, который просто пробрасывал соединение из локалки наружу. А теперь мы все через Ideco, а он по умолчанию анализирует весь трафик: ему что-то не нравилось в потоке от stunnel и он обрывал соединение. Сейчас эти внешние IP добавлены в исключения и Ideco их не просматривает и на моей рабочей станции все работает.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва
|
Автор: ИгорьК Автор: Dmitry-G
Игорь, вопрос, что называется, "на засыпку")) Как же у Вас, без изменения обозначенных выше сетевых настроек, раньше все заработало с одним сертификатом в справочнике?
Не, я же написал, что на новой, чистой. Наши сетевики сделали новую виртуалку с прямым выходом в интернет - и там все отработало. Чуть раньше у нас был прокси, который просто пробрасывал соединение из локалки наружу. А теперь мы все через Ideco, а он по умолчанию анализирует весь трафик: ему что-то не нравилось в потоке от stunnel и он обрывал соединение. Сейчас эти внешние IP добавлены в исключения и Ideco их не просматривает и на моей рабочей станции все работает. Я просто хочу сказать, что на Вашей "рабочей станции все работает" не потому (или не только потому), что изменились сетевые настройки, а вероятно потому, что у Вас в хранилище HKLM (локального компьютера) как и на этой Вашей новой машине, всего один личный сертификат. Дело в том, что служба Stunnel, запущенная от имени локальной системы, смотрит в хранилище личных HKLM, а не HKCU (текущий пользователь) и ей абсолютно все равно, сколько и каких сертификатов установлено у Вас в HKCU. Могу конечно ошибаться с Вашим случаем, но очень на то похоже. Отредактировано пользователем 16 декабря 2022 г. 10:48:16(UTC)
| Причина: Не указана
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
