Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Обновление stunnel-msspi на github: https://github.com/Crypt...g/stunnel-5.58-cpro-0.37Обратите внимание, что stunnel-msspi теперь входит в состав CSP 5.0 R2, поэтому версия stunnel-msspi в составе дистрибутива CSP будет сертифицирована. Версия на github остаётся НЕ сертифицированной, она предполагает использование в тестовых и исследовательских целях. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Обращаем внимание, что сертифицированная версия CSP 5.0 R2 теперь содержит реализацию stunnel-msspi для Windows и большинства UNIX систем: https://www.cryptopro.ru/products/csp/downloadsТаким образом, теперь существует сертифицированная версия stunnel-msspi в рамках дистрибутива CSP 5.0 R2. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.05.2023(UTC)
Сообщений: 3
|
Автор: pd  Автор: NKO SEC Зачем? Самая распространённая ошибка при использовании stunnel и http, это обращение в GET запросе к адресу stunnel вместо обращения к целевому адресу. Целевой адрес, бывает, не понимает такого запроса, так как в нём отсутствует корректный host. Ваш GET запрос, с большой вероятностью должен содержать host равный zoe-lk.fincert.cbr.ru. Для решения этой задачи, как правило, на машине, где работает ваше приложение, в /etc/hosts прописывается, что IP-адрес, где работает stunnel, это целевой хост. После этого приложение обращается к zoe-lk.fincert.cbr.ru, но попадает в stunnel, который уже устанавливает соединение с настоящим zoe-lk.fincert.cbr.ru по защищённому каналу. Не совсем понятно что нужно прописать в hosts. Если в конфигурации прописать: accept = 127.0.0.1:443 connect = lk.fincert.cbr.ru:443 при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request" Если в конфигурации прописать: accept = 127.0.0.1:443 connect = 212.40.223.94:443 А в hosts: 127.0.0.2 lk.fincert.cbr.ru То в логе "verify failed"
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: derkderk
Не совсем понятно что нужно прописать в hosts.
Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = lk.fincert.cbr.ru:443
при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request"
Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = 212.40.223.94:443
А в hosts:
127.0.0.2 lk.fincert.cbr.ru
То в логе "verify failed"
Если у вас stunnel и клиент на одной машине, значит при добавлении целевого host в hosts уже нет возможности использовать host в connect, так как будете подключаться сами к себе. Поэтому необходимо дополнительно указать sni для целевого host, например: Цитата:connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 26.05.2023(UTC)
Сообщений: 3
|
Цитата:connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru Спасибо, помогло.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.05.2022(UTC)
Сообщений: 1
Сказал(а) «Спасибо»: 1 раз
|
Автор: pd Автор: derkderk
Не совсем понятно что нужно прописать в hosts.
Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = lk.fincert.cbr.ru:443
при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request"
Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = 212.40.223.94:443
А в hosts:
127.0.0.2 lk.fincert.cbr.ru
То в логе "verify failed"
Если у вас stunnel и клиент на одной машине, значит при добавлении целевого host в hosts уже нет возможности использовать host в connect, так как будете подключаться сами к себе. Поэтому необходимо дополнительно указать sni для целевого host, например: Цитата:connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru тоже пытаюсь поднять туннель до финцерт и при добавлении в конфиг sni = lk.fincert.cbr.ru служба не запускается
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: Zhukov_AV
тоже пытаюсь поднять туннель до финцерт и при добавлении в конфиг sni = lk.fincert.cbr.ru служба не запускается
Обратите внимание, в данной теме обсуждается stunnel-msspi, возможно в версии, которую вы используете, нет такой директивы. |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 09.03.2024(UTC)
Сообщений: 1
|
Добрый день.
Возникла необходимость получить из WinXP доступ к API markirovka.crpt.ru
Насколько я понял читая форум - можно использовать stunnel-msspi, однако я не смог запустить его на XP, хотя вроде бы скачивал версию для x32.
При попытке запуска stunnel_msspi.exe пишет "Точка входа в процедуру InitializeSRWLock не найдена в Kernel32.dll" (версия файла 5.0.499)
Работает ли stunnel_msspi под XP?
Скачал с этого сайта stunnel.win32.exe (версия 5.0.15070)
Он запускается, устанавливается сервис, но не стартует. Пробовал ложить файл конфигурации и в каталог с программой, и в System32 как где-то тут на форуме прочитал. Что-то я делаю не так.
Где можно прочитать докумментацию?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
