Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Onkel_Ron  
#1 Оставлено : 20 июня 2024 г. 17:28:57(UTC)
Onkel_Ron

Статус: Участник

Группы: Участники
Зарегистрирован: 08.02.2023(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Добрый день!

Работы осуществляются на MacOS.
На сайте крипто про генерируем и скачиваем сертификат (тестовый) и закрытые ключи
https://testgost2012.cryptopro.ru/certsrv/ ,
устанавливаем их в КриптоПро,
экспортируем серт из КриптоПро с закрытыми ключами (проблема тут, нет инструкции как корректно выгрузить для MacOS, для Windows инструкция есть
https://www.pochta.ru/as...nt_2_3_v3_dde0e88e82.pdf ),
указываем в конфиге Stunnel путь до сертификата (лежит под ногами),
запускаем Stunnel и видим ошибку:
image-2024-06-20-16-19-02-366.png (38kb) загружен 9 раз(а).

Лог прилагаю. Log.txt (3kb) загружен 3 раз(а).
Offline pd  
#2 Оставлено : 21 июня 2024 г. 13:25:18(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,497
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 467 раз в 334 постах
Автор: Onkel_Ron Перейти к цитате
На сайте крипто про генерируем и скачиваем сертификат (тестовый) и закрытые ключи
https://testgost2012.cryptopro.ru/certsrv/ ,
устанавливаем их в КриптоПро,
экспортируем серт из КриптоПро с закрытыми ключами

Эти действия непонятны, какую задачу вы пытаетесь в целом решить?



Знания в базе знаний, поддержка в техподдержке
Offline Onkel_Ron  
#3 Оставлено : 21 июня 2024 г. 15:07:27(UTC)
Onkel_Ron

Статус: Участник

Группы: Участники
Зарегистрирован: 08.02.2023(UTC)
Сообщений: 16
Российская Федерация
Откуда: Москва

Для работы с API почты России нам нужен защищенный канал. Для этого мы используем Stunnel. Для настройки Stunnel нужен сгенерированный тестовый сертификат КриптоПро, который указывается в конфиге. Все действия выполняются по инструкции Почты России с тем отхождением, что манипуляции выполнялись на macOS вместо windows (см. п.4.1 "Формирование тестового клиентского сертификата ГОСТ 2012 через тестовый УЦ КриптоПРО"). Ссылка на инструкцию - https://www.pochta.ru/as...nt_2_3_v3_dde0e88e82.pdf
Offline pd  
#4 Оставлено : 21 июня 2024 г. 16:33:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,497
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 467 раз в 334 постах
Автор: Onkel_Ron Перейти к цитате
Для работы с API почты России нам нужен защищенный канал. Для этого мы используем Stunnel. Для настройки Stunnel нужен сгенерированный тестовый сертификат КриптоПро, который указывается в конфиге. Все действия выполняются по инструкции Почты России с тем отхождением, что манипуляции выполнялись на macOS вместо windows (см. п.4.1 "Формирование тестового клиентского сертификата ГОСТ 2012 через тестовый УЦ КриптоПРО"). Ссылка на инструкцию - https://www.pochta.ru/as...nt_2_3_v3_dde0e88e82.pdf

Кажется в этой инструкции есть какая-то неразбериха или непонимание авторами смысла двусторонней аутентификации в рамках TLS, а также указание verify=0 вообще по сути отключает смысл TLS.

Вкратце, попробуйте конфигурацию одностороннего TLS, то есть, без сертификата, очень похоже, что такой конфигурации вполне достаточно для решения задачи.

Цитата:
[https]
client = yes
accept = 3080
connect = 91.215.37.229:3080
verify = 0

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.