Статус: Новичок
Группы: Участники
Зарегистрирован: 31.05.2024(UTC) Сообщений: 4 
|
Здравствуйте! Пытаюсь пробросить туннель по схеме stunnel-msspi (клиент) - stunnel-msspi (сервер) - nginx. Когда настраиваю обычный stunnel, туннель поднимается, данные с nginx приходят. А stunnel-msspi (сервер) с похожим конфигом выдаёт SSL_accept: Unknown error -1 (-1), данные с nginx не приходят. Обычный stunnel использовать нельзя, т. к. нужно использовать ключ по ГОСТ. Подробности: Конфиг stunnel-msspi клиента Код:
pid=/var/opt/cprocsp/tmp/stunnel_client.pid
output=/opt/stunnel/log/stunnel_client.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
cert = d8c451a016b055db0bfeae04c30abb0ff7765f1e
verify = 0
[stunnel]
client = yes
accept=*:10843
connect=127.0.0.1:1443
verify = 0
Конфиг stunnel-msspi сервера: Код:
pid=/var/opt/cprocsp/tmp/stunnel_server.pid
output=/opt/stunnel/log/stunnel_server.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
cert = d8c451a016b055db0bfeae04c30abb0ff7765f1e
verify = 0
[http]
accept=*:1443
connect = 172.18.0.11:80
verify = 0
nginx порт слушает: Код:
curl 172.18.0.11:80
<!DOCTYPE html>
<html>
<head>
<title>test page</title>
</head>
<body>
<p>test page</p>
</body>
</html>
Сертификат в хранилище присутствует, ссылка на закрытый ключ проставлена: Код:
/opt/cprocsp/bin/amd64/certmgr -list
Certmgr Ver:5.0.13000 OS:Linux CPU:AMD64 (c) "Crypto-Pro", 2007-2024.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer : CN=TCI GOST B1 9-180
Subject : CN="___здесь FQDN сервера без кавычек____"
Serial : 0x01E5EBDDC55BBCCAC1743158
SHA1 Thumbprint : d8c451a016b055db0bfeae04c30abb0ff7765f1e
SubjectKeyID : f39a60a39e906e52c19ddd0ed5fc4501e9bf33e3
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 03/05/2024 08:44:36 UTC
Not valid after : 01/08/2024 08:44:36 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\ext-key.000\1D77
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
CA cert URL : http://ca.cstls.ru/gost-9-180.cer
CDP : http://ca.cstls.ru/gost-9-180.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
=============================================================================
[ErrorCode: 0x00000000]
stunnel-msspi клиент стартует: Код:
2024.06.07 16:49:23 LOG6[ui]: Initializing inetd mode configuration
2024.06.07 16:49:23 LOG7[ui]: Clients allowed=500
2024.06.07 16:49:23 LOG5[ui]: stunnel 5.71 on x86_64-pc-linux-gnu platform
2024.06.07 16:49:23 LOG5[ui]: Compiled without OPENSSL
2024.06.07 16:49:23 LOG5[ui]: Threading:PTHREAD Sockets:POLL,IPv6 TLS:OCSP,SNI
2024.06.07 16:49:23 LOG7[ui]: errno: (*__errno_location ())
2024.06.07 16:49:23 LOG6[ui]: Initializing inetd mode configuration
2024.06.07 16:49:23 LOG5[ui]: Reading configuration from file /opt/stunnel/config_client.ini
2024.06.07 16:49:23 LOG5[ui]: UTF-8 byte order mark not detected
2024.06.07 16:49:23 LOG6[ui]: Initializing service [stunnel]
2024.06.07 16:49:23 LOG5[ui]: Configuration successful
2024.06.07 16:49:23 LOG7[ui]: Deallocating deployed section defaults
2024.06.07 16:49:23 LOG7[ui]: Binding service [stunnel]
2024.06.07 16:49:23 LOG7[ui]: Listening file descriptor created (FD=9)
2024.06.07 16:49:23 LOG7[ui]: Setting accept socket options (FD=9)
2024.06.07 16:49:23 LOG7[ui]: Option SO_REUSEADDR set on accept socket
2024.06.07 16:49:23 LOG6[ui]: Service [stunnel] (FD=9) bound to 0.0.0.0:10843
2024.06.07 16:49:23 LOG7[ui]: Listening file descriptor created (FD=10)
2024.06.07 16:49:23 LOG7[ui]: Setting accept socket options (FD=10)
2024.06.07 16:49:23 LOG7[ui]: Option SO_REUSEADDR set on accept socket
2024.06.07 16:49:23 LOG5[ui]: Binding service [stunnel] to :::10843: Address already in use (98)
2024.06.07 16:49:23 LOG7[main]: Created pid file /var/opt/cprocsp/tmp/stunnel_client.pid
2024.06.07 16:49:23 LOG6[main]: Accepting new connections
stunnel-msspi сервер стартует: Код:
2024.06.07 16:49:23 LOG6[ui]: Initializing inetd mode configuration
2024.06.07 16:49:23 LOG7[ui]: Clients allowed=500
2024.06.07 16:49:23 LOG5[ui]: stunnel 5.71 on x86_64-pc-linux-gnu platform
2024.06.07 16:49:23 LOG5[ui]: Compiled without OPENSSL
2024.06.07 16:49:23 LOG5[ui]: Threading:PTHREAD Sockets:POLL,IPv6 TLS:OCSP,SNI
2024.06.07 16:49:23 LOG7[ui]: errno: (*__errno_location ())
2024.06.07 16:49:23 LOG6[ui]: Initializing inetd mode configuration
2024.06.07 16:49:23 LOG5[ui]: Reading configuration from file /opt/stunnel/config.ini
2024.06.07 16:49:23 LOG5[ui]: UTF-8 byte order mark not detected
2024.06.07 16:49:23 LOG6[ui]: Initializing service [http]
2024.06.07 16:49:23 LOG5[ui]: Configuration successful
2024.06.07 16:49:23 LOG7[ui]: Deallocating deployed section defaults
2024.06.07 16:49:23 LOG7[ui]: Binding service [http]
2024.06.07 16:49:23 LOG7[ui]: Listening file descriptor created (FD=9)
2024.06.07 16:49:23 LOG7[ui]: Setting accept socket options (FD=9)
2024.06.07 16:49:23 LOG7[ui]: Option SO_REUSEADDR set on accept socket
2024.06.07 16:49:23 LOG6[ui]: Service [http] (FD=9) bound to 0.0.0.0:1443
2024.06.07 16:49:23 LOG7[ui]: Listening file descriptor created (FD=10)
2024.06.07 16:49:23 LOG7[ui]: Setting accept socket options (FD=10)
2024.06.07 16:49:23 LOG7[ui]: Option SO_REUSEADDR set on accept socket
2024.06.07 16:49:23 LOG5[ui]: Binding service [http] to :::1443: Address already in use (98)
2024.06.07 16:49:23 LOG7[main]: Created pid file /var/opt/cprocsp/tmp/stunnel_server.pid
2024.06.07 16:49:23 LOG6[main]: Accepting new connections
При запросе к stunnel клиенту curl получает ошибку: Код:
curl -kiL 'http://teststunnel:10843'
curl: (56) Recv failure: Соединение разорвано другой стороной
Лог запроса к stunnel-msspi клиенту: Код:
2024.06.07 16:52:01 LOG7[main]: Found 1 ready file descriptor(s)
2024.06.07 16:52:01 LOG7[main]: FD=4 events=0x2001 revents=0x0
2024.06.07 16:52:01 LOG7[main]: FD=9 events=0x2001 revents=0x1
2024.06.07 16:52:01 LOG7[main]: Service [stunnel] accepted (FD=3) from __здесь IP моего компьютера__:49952
2024.06.07 16:52:01 LOG7[0]: Service [stunnel] started
2024.06.07 16:52:01 LOG7[0]: Setting local socket options (FD=3)
2024.06.07 16:52:01 LOG7[0]: Option TCP_NODELAY set on local socket
2024.06.07 16:52:01 LOG5[0]: Service [stunnel] accepted connection from __здесь IP моего компьютера__:49952
2024.06.07 16:52:01 LOG6[0]: s_connect: connecting 127.0.0.1:1443
2024.06.07 16:52:01 LOG7[0]: s_connect: s_poll_wait 127.0.0.1:1443: waiting 10 seconds
2024.06.07 16:52:01 LOG7[0]: FD=6 events=0x2001 revents=0x0
2024.06.07 16:52:01 LOG7[0]: FD=11 events=0x2005 revents=0x0
2024.06.07 16:52:01 LOG5[0]: s_connect: connected 127.0.0.1:1443
2024.06.07 16:52:01 LOG5[0]: Service [stunnel] connected remote server from 127.0.0.1:48840
2024.06.07 16:52:01 LOG7[0]: Setting remote socket options (FD=11)
2024.06.07 16:52:01 LOG7[0]: Option TCP_NODELAY set on remote socket
2024.06.07 16:52:01 LOG7[0]: Remote descriptor (FD=11) initialized
2024.06.07 16:52:01 LOG7[main]: Found 1 ready file descriptor(s)
2024.06.07 16:52:01 LOG7[main]: FD=4 events=0x2001 revents=0x1
2024.06.07 16:52:01 LOG7[main]: FD=9 events=0x2001 revents=0x0
2024.06.07 16:52:01 LOG7[main]: Dispatching a signal from the signal pipe
2024.06.07 16:52:01 LOG7[main]: Processing SIGCHLD
2024.06.07 16:52:01 LOG7[main]: Retrieving pid statuses with waitpid()
2024.06.07 16:52:01 LOG6[0]: Peer certificate not required
2024.06.07 16:52:01 LOG3[0]: SSL_connect
2024.06.07 16:52:01 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2024.06.07 16:52:01 LOG7[0]: remote_fd reset (FD=11)
2024.06.07 16:52:01 LOG7[0]: Remote descriptor (FD=11) closed
2024.06.07 16:52:01 LOG7[0]: local_rfd/local_wfd reset (FD=3)
2024.06.07 16:52:01 LOG7[0]: Local descriptor (FD=3) closed
2024.06.07 16:52:01 LOG7[0]: Service [stunnel] finished (0 left)
Лог запроса к stunnel-msspi серверу: Код:
2024.06.07 16:52:01 LOG7[main]: Found 1 ready file descriptor(s)
2024.06.07 16:52:01 LOG7[main]: FD=4 events=0x2001 revents=0x0
2024.06.07 16:52:01 LOG7[main]: FD=9 events=0x2001 revents=0x1
2024.06.07 16:52:01 LOG7[main]: Service [http] accepted (FD=3) from 127.0.0.1:48840
2024.06.07 16:52:01 LOG7[0]: Service [http] started
2024.06.07 16:52:01 LOG7[0]: Setting local socket options (FD=3)
2024.06.07 16:52:01 LOG7[0]: Option TCP_NODELAY set on local socket
2024.06.07 16:52:01 LOG5[0]: Service [http] accepted connection from 127.0.0.1:48840
2024.06.07 16:52:01 LOG7[main]: Found 1 ready file descriptor(s)
2024.06.07 16:52:01 LOG7[main]: FD=4 events=0x2001 revents=0x1
2024.06.07 16:52:01 LOG7[main]: FD=9 events=0x2001 revents=0x0
2024.06.07 16:52:01 LOG7[main]: Dispatching a signal from the signal pipe
2024.06.07 16:52:01 LOG7[main]: Processing SIGCHLD
2024.06.07 16:52:01 LOG7[main]: Retrieving pid statuses with waitpid()
2024.06.07 16:52:01 LOG6[0]: Peer certificate not required
2024.06.07 16:52:01 LOG3[0]: SSL_accept: Unknown error -1 (-1)
2024.06.07 16:52:01 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2024.06.07 16:52:01 LOG7[0]: local_rfd/local_wfd reset (FD=3)
2024.06.07 16:52:01 LOG7[0]: Local descriptor (FD=3) closed
2024.06.07 16:52:01 LOG7[0]: Service [http] finished (0 left)
Настораживает вот эта ошибка "SSL_accept: Unknown error -1 (-1)". В чём может быть проблема?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: gohdan  В чём может быть проблема? Проблема в конфигурации, об этом уже есть записи в логах "Address already in use". Нарисуйте схему, определите роли. Если у вас клиент и сервер на одном хосте, а судя по "connect=127.0.0.1:1443" иначе быть не может, зачем вы запускаете 2 stunnel? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.05.2024(UTC) Сообщений: 4
|
Автор: pd Автор: gohdan В чём может быть проблема? Проблема в конфигурации, об этом уже есть записи в логах "Address already in use". Нарисуйте схему, определите роли. Если у вас клиент и сервер на одном хосте, а судя по "connect=127.0.0.1:1443" иначе быть не может, зачем вы запускаете 2 stunnel? Как я понимаю, "Address already in use" - это не проблема, так как записи вида "Binding service [http] to :::1443: Address already in use (98)" stunnel пишет, потому что пытается запуститься на порту 1443 на ip-адресе ipv6 (:::1443 - характерная запись для ipv6), но не может, потому что уже запустился на этом порту на ip-адресе на ipv4 (запись в логе bound to 0.0.0.0:1443). Работа по ipv4 идёт, видно, что они друг к другу подсоединяются, так что проблема не должна быть со стороны сети. 2 stunnel я запускаю, чтобы отладить работу stunnel в паре. Второй stunnel будет использовать другой человек с другого компьютера. Прежде чем просить проверить его, я должен убедиться, что всё работает на моей стороне. Схема такая: у меня поднят nginx, к нему подсоединяется stunnel-сервер (у меня слушает на порту 1443), к stunnel-серверу подсоединяется stunnel-клиент (сейчас работает у меня на порту 10843, будет работать где-то на другом компьютере у другого человека), к stunnel-клиенту подсоединяется приложение, которому нужны html-странички с nginx. Отредактировано пользователем 10 июня 2024 г. 10:56:07(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.05.2024(UTC) Сообщений: 4
|
Отключил на сервере ipv6 (net.ipv6.conf.all.disable_ipv6 = 1 в sysctl.conf), перезапустил stunnel. Логи запуска ожидаемо поменялись (ушли записи про ipv6), но, к сожалению, проблема осталась. Лог запуска сервера: Код:
2024.06.10 10:52:32 LOG6[ui]: Initializing inetd mode configuration
2024.06.10 10:52:32 LOG7[ui]: Clients allowed=500
2024.06.10 10:52:32 LOG5[ui]: stunnel 5.71 on x86_64-pc-linux-gnu platform
2024.06.10 10:52:32 LOG5[ui]: Compiled without OPENSSL
2024.06.10 10:52:32 LOG5[ui]: Threading:PTHREAD Sockets:POLL,IPv6 TLS:OCSP,SNI
2024.06.10 10:52:32 LOG7[ui]: errno: (*__errno_location ())
2024.06.10 10:52:32 LOG6[ui]: Initializing inetd mode configuration
2024.06.10 10:52:32 LOG5[ui]: Reading configuration from file /opt/stunnel/config.ini
2024.06.10 10:52:32 LOG5[ui]: UTF-8 byte order mark not detected
2024.06.10 10:52:32 LOG6[ui]: Initializing service [http]
2024.06.10 10:52:32 LOG5[ui]: Configuration successful
2024.06.10 10:52:32 LOG7[ui]: Deallocating deployed section defaults
2024.06.10 10:52:32 LOG7[ui]: Binding service [http]
2024.06.10 10:52:32 LOG7[ui]: Listening file descriptor created (FD=9)
2024.06.10 10:52:32 LOG7[ui]: Setting accept socket options (FD=9)
2024.06.10 10:52:32 LOG7[ui]: Option SO_REUSEADDR set on accept socket
2024.06.10 10:52:32 LOG6[ui]: Service [http] (FD=9) bound to 0.0.0.0:1443
2024.06.10 10:52:32 LOG7[main]: Created pid file /var/opt/cprocsp/tmp/stunnel_server.pid
2024.06.10 10:52:32 LOG6[main]: Accepting new connections
Лог запуска клиента Код:
2024.06.10 10:52:32 LOG6[ui]: Initializing inetd mode configuration
2024.06.10 10:52:32 LOG7[ui]: Clients allowed=500
2024.06.10 10:52:32 LOG5[ui]: stunnel 5.71 on x86_64-pc-linux-gnu platform
2024.06.10 10:52:32 LOG5[ui]: Compiled without OPENSSL
2024.06.10 10:52:32 LOG5[ui]: Threading:PTHREAD Sockets:POLL,IPv6 TLS:OCSP,SNI
2024.06.10 10:52:32 LOG7[ui]: errno: (*__errno_location ())
2024.06.10 10:52:32 LOG6[ui]: Initializing inetd mode configuration
2024.06.10 10:52:32 LOG5[ui]: Reading configuration from file /opt/stunnel/config_client.ini
2024.06.10 10:52:32 LOG5[ui]: UTF-8 byte order mark not detected
2024.06.10 10:52:32 LOG6[ui]: Initializing service [stunnel]
2024.06.10 10:52:32 LOG5[ui]: Configuration successful
2024.06.10 10:52:32 LOG7[ui]: Deallocating deployed section defaults
2024.06.10 10:52:32 LOG7[ui]: Binding service [stunnel]
2024.06.10 10:52:32 LOG7[ui]: Listening file descriptor created (FD=9)
2024.06.10 10:52:32 LOG7[ui]: Setting accept socket options (FD=9)
2024.06.10 10:52:32 LOG7[ui]: Option SO_REUSEADDR set on accept socket
2024.06.10 10:52:32 LOG6[ui]: Service [stunnel] (FD=9) bound to 0.0.0.0:10843
2024.06.10 10:52:32 LOG7[main]: Created pid file /var/opt/cprocsp/tmp/stunnel_client.pid
2024.06.10 10:52:32 LOG6[main]: Accepting new connections
Лог запроса к stunnel клиенту: Код:
2024.06.10 10:56:07 LOG7[main]: Found 1 ready file descriptor(s)
2024.06.10 10:56:07 LOG7[main]: FD=4 events=0x2001 revents=0x0
2024.06.10 10:56:07 LOG7[main]: FD=9 events=0x2001 revents=0x1
2024.06.10 10:56:07 LOG7[main]: Service [stunnel] accepted (FD=3) from __здесь IP моего компьютера__:60446
2024.06.10 10:56:07 LOG7[1]: Service [stunnel] started
2024.06.10 10:56:07 LOG7[1]: Setting local socket options (FD=3)
2024.06.10 10:56:07 LOG7[1]: Option TCP_NODELAY set on local socket
2024.06.10 10:56:07 LOG5[1]: Service [stunnel] accepted connection from __здесь IP моего компьютера__:60446
2024.06.10 10:56:07 LOG6[1]: s_connect: connecting 127.0.0.1:1443
2024.06.10 10:56:07 LOG7[1]: s_connect: s_poll_wait 127.0.0.1:1443: waiting 10 seconds
2024.06.10 10:56:07 LOG7[1]: FD=6 events=0x2001 revents=0x0
2024.06.10 10:56:07 LOG7[1]: FD=11 events=0x2005 revents=0x0
2024.06.10 10:56:07 LOG5[1]: s_connect: connected 127.0.0.1:1443
2024.06.10 10:56:07 LOG5[1]: Service [stunnel] connected remote server from 127.0.0.1:56840
2024.06.10 10:56:07 LOG7[1]: Setting remote socket options (FD=11)
2024.06.10 10:56:07 LOG7[1]: Option TCP_NODELAY set on remote socket
2024.06.10 10:56:07 LOG7[1]: Remote descriptor (FD=11) initialized
2024.06.10 10:56:07 LOG6[1]: Peer certificate not required
2024.06.10 10:56:07 LOG3[1]: SSL_connect
2024.06.10 10:56:07 LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2024.06.10 10:56:07 LOG7[1]: remote_fd reset (FD=11)
2024.06.10 10:56:07 LOG7[1]: Remote descriptor (FD=11) closed
2024.06.10 10:56:07 LOG7[1]: local_rfd/local_wfd reset (FD=3)
2024.06.10 10:56:07 LOG7[1]: Local descriptor (FD=3) closed
2024.06.10 10:56:07 LOG7[1]: Service [stunnel] finished (0 left)
Лог запроса к stunnel серверу: Код:
2024.06.10 10:56:07 LOG7[main]: Found 1 ready file descriptor(s)
2024.06.10 10:56:07 LOG7[main]: FD=4 events=0x2001 revents=0x0
2024.06.10 10:56:07 LOG7[main]: FD=9 events=0x2001 revents=0x1
2024.06.10 10:56:07 LOG7[main]: Service [http] accepted (FD=3) from 127.0.0.1:56840
2024.06.10 10:56:07 LOG7[1]: Service [http] started
2024.06.10 10:56:07 LOG7[1]: Setting local socket options (FD=3)
2024.06.10 10:56:07 LOG7[1]: Option TCP_NODELAY set on local socket
2024.06.10 10:56:07 LOG5[1]: Service [http] accepted connection from 127.0.0.1:56840
2024.06.10 10:56:07 LOG6[1]: Peer certificate not required
2024.06.10 10:56:07 LOG3[1]: SSL_accept: Unknown error -1 (-1)
2024.06.10 10:56:07 LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2024.06.10 10:56:07 LOG7[1]: local_rfd/local_wfd reset (FD=3)
2024.06.10 10:56:07 LOG7[1]: Local descriptor (FD=3) closed
2024.06.10 10:56:07 LOG7[1]: Service [http] finished (0 left)
Сохраняется SSL_accept: Unknown error -1 (-1)Отредактировано пользователем 10 июня 2024 г. 11:04:22(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: gohdan Второй stunnel будет использовать другой человек с другого компьютера. Прежде чем просить проверить его, я должен убедиться, что всё работает на моей стороне. Ясно, ошибка странная, возможно stunnel-msspi не учитывает современный функционал лицензий CSP. Проверьте syslog на наличие ошибок CSP. Также можно запустить более простую схему сервера через csptest: Код:/opt/cprocsp/bin/amd64/csptest -tlss -user d8c451a016b055db0bfeae04c30abb0ff7765f1e -port 1443 -verbose
Перед этим можно создать страничку заглушку: Но скорее всего до странички дело не дойдёт и мы увидим в логе работы сервера диагностику ошибки. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.05.2024(UTC) Сообщений: 4
|
Автор: pd Автор: gohdan Второй stunnel будет использовать другой человек с другого компьютера. Прежде чем просить проверить его, я должен убедиться, что всё работает на моей стороне. Ясно, ошибка странная, возможно stunnel-msspi не учитывает современный функционал лицензий CSP. Проверьте syslog на наличие ошибок CSP. Да, в journalctl нашёл более подробный лог: Код:
Jun 10 10:56:07 stunnel[769257]: LOG6[1]: Peer certificate not required
Jun 10 10:56:07 stunnel[769257]: <ssp>AddToMessageLog!CryptoPro TLS. Server license not found. Since CSP5R2 you need an exclusive TLS Server license
Jun 10 10:56:07 stunnel[769257]: <ssp>CPSSPCreateCredentials! TLS server license not found. Since CSP5R2 you need an exclusive TLS Server license!
Jun 10 10:56:07 stunnel[769257]: <ssp>CPAcquireCredentialsHandleA!failed: LastError = 0x80090307
Jun 10 10:56:07 stunnel[769257]: LOG3[1]: SSL_accept: Unknown error -1 (-1)
Получается, для использования stunnel нам нужно купить не только серверную лицензию, но и лицензию на TLS сервер? Просто я перед покупкой уточнял в поддержке, и мне ответили: Цитата:
"Если планируется создание TLS сервера на этой же машине, то можно и приобрести(например в будущем nginx с ГОСТ шифрованием будете поднимать).
Если будет просто stunnel который будет принимать трафик, расшифровывать его и отправлять на порт для какого-то ПО вашего, достаточно обычной серверной"
Отредактировано пользователем 10 июня 2024 г. 16:37:51(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
|
Автор: gohdan Автор: pd Автор: gohdan Второй stunnel будет использовать другой человек с другого компьютера. Прежде чем просить проверить его, я должен убедиться, что всё работает на моей стороне. Ясно, ошибка странная, возможно stunnel-msspi не учитывает современный функционал лицензий CSP. Проверьте syslog на наличие ошибок CSP. Да, в journalctl нашёл более подробный лог: Код:
Jun 10 10:56:07 stunnel[769257]: LOG6[1]: Peer certificate not required
Jun 10 10:56:07 stunnel[769257]: <ssp>AddToMessageLog!CryptoPro TLS. Server license not found. Since CSP5R2 you need an exclusive TLS Server license
Jun 10 10:56:07 stunnel[769257]: <ssp>CPSSPCreateCredentials! TLS server license not found. Since CSP5R2 you need an exclusive TLS Server license!
Jun 10 10:56:07 stunnel[769257]: <ssp>CPAcquireCredentialsHandleA!failed: LastError = 0x80090307
Jun 10 10:56:07 stunnel[769257]: LOG3[1]: SSL_accept: Unknown error -1 (-1)
Получается, для использования stunnel нам нужно купить не только серверную лицензию, но и лицензию на TLS сервер? Просто я перед покупкой уточнял в поддержке, и мне ответили: Цитата:
"Если планируется создание TLS сервера на этой же машине, то можно и приобрести(например в будущем nginx с ГОСТ шифрованием будете поднимать).
Если будет просто stunnel который будет принимать трафик, расшифровывать его и отправлять на порт для какого-то ПО вашего, достаточно обычной серверной"
Актуальная информация по лицензированию TLS здесь: https://support.cryptopr...nija-kriptopro-csp-50-r2Думаю, что проблема не большая, свяжитесь ещё раз с поддержкой, вопрос решаемый. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
