Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,552
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 517 раз в 365 постах
|
Обновление stunnel-msspi на github: https://github.com/Crypt...g/stunnel-5.58-cpro-0.37Обратите внимание, что stunnel-msspi теперь входит в состав CSP 5.0 R2, поэтому версия stunnel-msspi в составе дистрибутива CSP будет сертифицирована. Версия на github остаётся НЕ сертифицированной, она предполагает использование в тестовых и исследовательских целях. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,552
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 517 раз в 365 постах
|
Обращаем внимание, что сертифицированная версия CSP 5.0 R2 теперь содержит реализацию stunnel-msspi для Windows и большинства UNIX систем: https://www.cryptopro.ru/products/csp/downloadsТаким образом, теперь существует сертифицированная версия stunnel-msspi в рамках дистрибутива CSP 5.0 R2. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.05.2023(UTC)
Сообщений: 3
|
Автор: pd  Автор: NKO SEC Зачем? Самая распространённая ошибка при использовании stunnel и http, это обращение в GET запросе к адресу stunnel вместо обращения к целевому адресу. Целевой адрес, бывает, не понимает такого запроса, так как в нём отсутствует корректный host. Ваш GET запрос, с большой вероятностью должен содержать host равный zoe-lk.fincert.cbr.ru. Для решения этой задачи, как правило, на машине, где работает ваше приложение, в /etc/hosts прописывается, что IP-адрес, где работает stunnel, это целевой хост. После этого приложение обращается к zoe-lk.fincert.cbr.ru, но попадает в stunnel, который уже устанавливает соединение с настоящим zoe-lk.fincert.cbr.ru по защищённому каналу. Не совсем понятно что нужно прописать в hosts. Если в конфигурации прописать: accept = 127.0.0.1:443 connect = lk.fincert.cbr.ru:443 при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request" Если в конфигурации прописать: accept = 127.0.0.1:443 connect = 212.40.223.94:443 А в hosts: 127.0.0.2 lk.fincert.cbr.ru То в логе "verify failed"
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,552
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 517 раз в 365 постах
|
Автор: derkderk
Не совсем понятно что нужно прописать в hosts.
Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = lk.fincert.cbr.ru:443
при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request"
Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = 212.40.223.94:443
А в hosts:
127.0.0.2 lk.fincert.cbr.ru
То в логе "verify failed"
Если у вас stunnel и клиент на одной машине, значит при добавлении целевого host в hosts уже нет возможности использовать host в connect, так как будете подключаться сами к себе. Поэтому необходимо дополнительно указать sni для целевого host, например: Цитата:connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.05.2023(UTC)
Сообщений: 3
|
Цитата:connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru Спасибо, помогло.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2022(UTC)
Сообщений: 1
Сказал(а) «Спасибо»: 1 раз
|
Автор: pd Автор: derkderk
Не совсем понятно что нужно прописать в hosts.
Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = lk.fincert.cbr.ru:443
при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request"
Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = 212.40.223.94:443
А в hosts:
127.0.0.2 lk.fincert.cbr.ru
То в логе "verify failed"
Если у вас stunnel и клиент на одной машине, значит при добавлении целевого host в hosts уже нет возможности использовать host в connect, так как будете подключаться сами к себе. Поэтому необходимо дополнительно указать sni для целевого host, например: Цитата:connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru тоже пытаюсь поднять туннель до финцерт и при добавлении в конфиг sni = lk.fincert.cbr.ru служба не запускается
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,552
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 517 раз в 365 постах
|
Автор: Zhukov_AV
тоже пытаюсь поднять туннель до финцерт и при добавлении в конфиг sni = lk.fincert.cbr.ru служба не запускается
Обратите внимание, в данной теме обсуждается stunnel-msspi, возможно в версии, которую вы используете, нет такой директивы. |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.03.2024(UTC)
Сообщений: 1
|
Добрый день.
Возникла необходимость получить из WinXP доступ к API markirovka.crpt.ru
Насколько я понял читая форум - можно использовать stunnel-msspi, однако я не смог запустить его на XP, хотя вроде бы скачивал версию для x32.
При попытке запуска stunnel_msspi.exe пишет "Точка входа в процедуру InitializeSRWLock не найдена в Kernel32.dll" (версия файла 5.0.499)
Работает ли stunnel_msspi под XP?
Скачал с этого сайта stunnel.win32.exe (версия 5.0.15070)
Он запускается, устанавливается сервис, но не стартует. Пробовал ложить файл конфигурации и в каталог с программой, и в System32 как где-то тут на форуме прочитал. Что-то я делаю не так.
Где можно прочитать докумментацию?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.08.2025(UTC) Сообщений: 3  Откуда: Симферополь Сказал(а) «Спасибо»: 1 раз
|
Добрый день! Есть приложение написанное на Java, через приложение пытаюсь подключится к сайте api.fincert.cbr.ru используя stunnel, выдает ошибку "Unsupported or unrecognized SSL message" Настройки stunnel проводил согласно документации от Fincert, перепробовал множество вариантов конфигураций самостоятельно. Ошибка или не поддерживаемый ssl или соединение сброшено есть установлен параметр verify отличный от 0. Есть ли рекомендации что можно делать с stunnel что бы приложение заработало или может какие то настройки сети нужно сделать(сервер находится dmz зоне)?
2025.08.04 14:20:32 LOG7[20]: Service [tls1-client-https-1] started
2025.08.04 14:20:32 LOG7[20]: Setting local socket options (FD=2428)
2025.08.04 14:20:32 LOG7[20]: Option TCP_NODELAY set on local socket
2025.08.04 14:20:32 LOG5[20]: Service [tls1-client-https-1] accepted connection from 127.0.0.1:58605
2025.08.04 14:20:32 LOG6[20]: s_connect: connecting 212.40.223.94:443
2025.08.04 14:20:32 LOG7[20]: s_connect: s_poll_wait 212.40.223.94:443: waiting 10 seconds
2025.08.04 14:20:32 LOG7[20]: FD=2748 ifds=rwx ofds=---
2025.08.04 14:20:32 LOG5[20]: s_connect: connected 212.40.223.94:443
2025.08.04 14:20:32 LOG5[20]: Service [tls1-client-https-1] connected remote server from 10.61.188.12:58606
2025.08.04 14:20:32 LOG7[20]: Setting remote socket options (FD=2748)
2025.08.04 14:20:32 LOG7[20]: Option TCP_NODELAY set on remote socket
2025.08.04 14:20:32 LOG7[20]: Remote descriptor (FD=2748) initialized
2025.08.04 14:20:32 LOG6[20]: msspi: try open cert = "C:\stunnel\User\user.cer" as file
2025.08.04 14:20:32 LOG6[20]: Peer certificate not required
2025.08.04 14:20:32 LOG6[20]: msspi: TLSv1.2 connected (FF85)
2025.08.04 14:20:32 LOG6[20]: TLS closed (SSL_read)
2025.08.04 14:20:32 LOG7[20]: Sent socket write shutdown
2025.08.04 14:20:32 LOG6[20]: Read socket closed (readsocket)
2025.08.04 14:20:32 LOG7[20]: Sending close_notify alert
2025.08.04 14:20:32 LOG6[20]: SSL_shutdown successfully sent close_notify alert
2025.08.04 14:20:32 LOG5[20]: Connection closed: 462 byte(s) sent to TLS, 352 byte(s) sent to socket
2025.08.04 14:20:32 LOG7[20]: Remote descriptor (FD=2748) closed
2025.08.04 14:20:32 LOG7[20]: Local descriptor (FD=2428) closed
2025.08.04 14:20:32 LOG7[20]: Service [tls1-client-https-1] finished (0 left)
verify = 0
output=C:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[tls1-client-https-1]
client = yes
sslVersion = TLSv1.2
accept = api.fincert.cbr.ru:1501
connect = 212.40.223.94:443
cert=C:\stunnel\User\user.cer
#pincode = 1234567890
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
