Настройка stunnel-msspi

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

Настройка stunnel-msspi - Настройка stunnel-msspi

Опции

Предыдущая тема Следующая тема

baraboresh		#1 Оставлено : 27 января 2025 г. 11:18:57(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 27.01.2025(UTC) Сообщений: 4 Откуда: Москва		Добрый день! Пытаюсь настроить доступ к Госзакупкам через программу stunnel-msspi. Есть несколько вопросов. 1.Остановился на ошибке: msspi: try open cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f, pin = 3" as file msspi: add_mycert failed: "can not open file" (cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f, pin = 3") Почему stunnel не может открыть сертификат? 2. В логах всегда строчка Compiled without OPENSSL. Это нормально для stunnel-msspi? Почему без OPENSSL? Если ненормально, то как исправить?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Русев Андрей		#2 Оставлено : 27 января 2025 г. 11:38:52(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,456 Сказал(а) «Спасибо»: 40 раз Поблагодарили: 582 раз в 405 постах		1. В 2024-09-22 КриптоПро CSP 5.0.13300 Uroboros в stunnel-msspi была улучшена диагностиа ошибок настройки сертификатов. Попробуйте её - там должно быть понятней, что не так. 2. Нормально.
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pd		#3 Оставлено : 27 января 2025 г. 14:37:01(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,511 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 477 раз в 340 постах		Автор: baraboresh msspi: try open cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f, pin = 3" as file И проверьте конфиг, здесь ", pin =3" как-то приклеилось к cert = "...", pin должен быть на своей отдельной строке.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

baraboresh		#4 Оставлено : 27 января 2025 г. 14:55:03(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 27.01.2025(UTC) Сообщений: 4 Откуда: Москва		Автор: pd Автор: baraboresh msspi: try open cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f, pin = 3" as file И проверьте конфиг, здесь ", pin =3" как-то приклеилось к cert = "...", pin должен быть на своей отдельной строке. Заново загрузил .pfx файл в Личное. Теперь такая ошибка: msspi: msspi_set_mycert_options failed (cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f", pin = "333") Конфиг такой у меня: cert = c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f pin = 333 output = C:\Stunnel\stunnel.log client = yes debug = 7 msspi = yes [https] accept = 172.19.14.24:8080 connect = srvproxy.headoffice.psbank.local:8080 protocol = connect protocolHost = int44.zakupki.gov.ru:443


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pd		#5 Оставлено : 27 января 2025 г. 16:15:12(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,511 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 477 раз в 340 постах		Автор: baraboresh Заново загрузил .pfx файл в Личное. Теперь такая ошибка: msspi: msspi_set_mycert_options failed (cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f", pin = "333") Типичная ошибка, это запуск stunnel от пользователя отличного от владельца ключа. По другим ошибкам можно долго гадать, обычно подобные ошибки уже логируются в журнале, если нет, то можно включить аудит: https://support.cryptopr...o-csp-50-r2-v-os-windows
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

baraboresh		#6 Оставлено : 28 января 2025 г. 11:14:25(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 27.01.2025(UTC) Сообщений: 4 Откуда: Москва		Автор: pd Автор: baraboresh Заново загрузил .pfx файл в Личное. Теперь такая ошибка: msspi: msspi_set_mycert_options failed (cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f", pin = "333") Типичная ошибка, это запуск stunnel от пользователя отличного от владельца ключа. По другим ошибкам можно долго гадать, обычно подобные ошибки уже логируются в журнале, если нет, то можно включить аудит: https://support.cryptopr...o-csp-50-r2-v-os-windows Спасибо за ответ! А где можно посмотреть, какой у ключа владелец? Хочу убедиться, что именно в этом проблема.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

pd		#7 Оставлено : 28 января 2025 г. 14:16:55(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,511 Откуда: КРИПТО-ПРО Сказал(а) «Спасибо»: 35 раз Поблагодарили: 477 раз в 340 постах		Автор: baraboresh Автор: pd Типичная ошибка, это запуск stunnel от пользователя отличного от владельца ключа. А где можно посмотреть, какой у ключа владелец? Хочу убедиться, что именно в этом проблема. Владелец, в вашем случае вероятно, кто импортирует pfx, а запускается stunnel, возможно, как сервис ОС. Вы не написали по шагам инструкцию, как воспроизвести вашу ошибку, поэтому гадаем.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

baraboresh		#8 Оставлено : 30 января 2025 г. 11:33:40(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 27.01.2025(UTC) Сообщений: 4 Откуда: Москва		Автор: pd Автор: baraboresh Автор: pd Типичная ошибка, это запуск stunnel от пользователя отличного от владельца ключа. А где можно посмотреть, какой у ключа владелец? Хочу убедиться, что именно в этом проблема. Владелец, в вашем случае вероятно, кто импортирует pfx, а запускается stunnel, возможно, как сервис ОС. Вы не написали по шагам инструкцию, как воспроизвести вашу ошибку, поэтому гадаем. Заново установил pfx без пина. Конфиг подредактировал. Инструкция, как делаю по шагам: 1. Устанавливаю pfx файл с закрытой частью в Личное (локальный компьютер). Пин-код оставляю пустым. 2. Запускаю stunnel_msspi.exe. Вижу положительный лог: Configuration successful 3. Далее в браузере пытаюсь зайти на http://localhost:8080/, не заходит. В логах ошибка msspi: msspi_set_mycert_options failed (cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f", pin = ""). Если убрать строчку cert вовсе, то на http://localhost:8080/ успешно зайдет (вернет 200). Конфиг файл (иду через прокси сервер): [https] client = yes accept = 8080 connect = srvproxy.headoffice.psbank.local:8080 protocol = connect protocolHost = int44.zakupki.gov.ru:443 debug = 7 cert = c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f Лог: 2025.01.30 11:14:12 LOG5[main]: stunnel 5.58 on x86-pc-msvc-1916 platform 2025.01.30 11:14:12 LOG5[main]: Compiled without OPENSSL 2025.01.30 11:14:12 LOG5[main]: Threading:WIN32 Sockets:SELECT,IPv6 TLS:OCSP,SNI 2025.01.30 11:14:12 LOG5[main]: Reading configuration from file stunnel.conf 2025.01.30 11:14:12 LOG5[main]: UTF-8 byte order mark not detected 2025.01.30 11:14:12 LOG5[main]: Configuration successful 2025.01.30 11:14:17 LOG7[0]: Service [https] started 2025.01.30 11:14:17 LOG7[1]: Service [https] started 2025.01.30 11:14:17 LOG7[0]: Setting local socket options (FD=704) 2025.01.30 11:14:17 LOG7[0]: Option TCP_NODELAY set on local socket 2025.01.30 11:14:17 LOG7[1]: Setting local socket options (FD=712) 2025.01.30 11:14:17 LOG5[0]: Service [https] accepted connection from ::1:65146 2025.01.30 11:14:17 LOG7[1]: Option TCP_NODELAY set on local socket 2025.01.30 11:14:17 LOG5[1]: Service [https] accepted connection from ::1:65145 2025.01.30 11:14:17 LOG6[1]: s_connect: connecting 10.214.244.90:8080 2025.01.30 11:14:17 LOG6[0]: s_connect: connecting 10.214.244.90:8080 2025.01.30 11:14:17 LOG7[1]: s_connect: s_poll_wait 10.214.244.90:8080: waiting 10 seconds 2025.01.30 11:14:17 LOG7[0]: s_connect: s_poll_wait 10.214.244.90:8080: waiting 10 seconds 2025.01.30 11:14:17 LOG7[1]: FD=764 ifds=rwx ofds=--- 2025.01.30 11:14:17 LOG7[0]: FD=760 ifds=rwx ofds=--- 2025.01.30 11:14:17 LOG5[0]: s_connect: connected 10.214.244.90:8080 2025.01.30 11:14:17 LOG5[0]: Service [https] connected remote server from 172.19.14.24:65148 2025.01.30 11:14:17 LOG7[0]: Setting remote socket options (FD=760) 2025.01.30 11:14:17 LOG7[0]: Option TCP_NODELAY set on remote socket 2025.01.30 11:14:17 LOG7[0]: Remote descriptor (FD=760) initialized 2025.01.30 11:14:17 LOG7[0]: -> CONNECT int44.zakupki.gov.ru:443 HTTP/1.1 2025.01.30 11:14:17 LOG7[0]: -> Host: int44.zakupki.gov.ru:443 2025.01.30 11:14:17 LOG7[0]: -> 2025.01.30 11:14:17 LOG7[0]: <- HTTP/1.1 200 Connection established 2025.01.30 11:14:17 LOG6[0]: CONNECT request accepted 2025.01.30 11:14:17 LOG7[0]: <- 2025.01.30 11:14:17 LOG5[1]: s_connect: connected 10.214.244.90:8080 2025.01.30 11:14:17 LOG5[1]: Service [https] connected remote server from 172.19.14.24:65147 2025.01.30 11:14:17 LOG7[1]: Setting remote socket options (FD=764) 2025.01.30 11:14:17 LOG7[1]: Option TCP_NODELAY set on remote socket 2025.01.30 11:14:17 LOG7[1]: Remote descriptor (FD=764) initialized 2025.01.30 11:14:17 LOG7[1]: -> CONNECT int44.zakupki.gov.ru:443 HTTP/1.1 2025.01.30 11:14:17 LOG7[1]: -> Host: int44.zakupki.gov.ru:443 2025.01.30 11:14:17 LOG7[1]: -> 2025.01.30 11:14:18 LOG7[1]: <- HTTP/1.1 200 Connection established 2025.01.30 11:14:18 LOG6[1]: CONNECT request accepted 2025.01.30 11:14:18 LOG7[1]: <- 2025.01.30 11:14:18 LOG3[0]: msspi: msspi_set_mycert_options failed (cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f", pin = "") 2025.01.30 11:14:18 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket 2025.01.30 11:14:18 LOG7[0]: Remote descriptor (FD=760) closed 2025.01.30 11:14:18 LOG7[0]: Local descriptor (FD=704) closed 2025.01.30 11:14:18 LOG7[0]: Service [https] finished (1 left) 2025.01.30 11:14:18 LOG3[1]: msspi: msspi_set_mycert_options failed (cert = "c79d6abbc30740efb3b4a68cdf060fa2cd9ea78f", pin = "") 2025.01.30 11:14:18 LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket 2025.01.30 11:14:18 LOG7[1]: Remote descriptor (FD=764) closed 2025.01.30 11:14:18 LOG7[1]: Local descriptor (FD=712) closed 2025.01.30 11:14:18 LOG7[1]: Service [https] finished (0 left)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (4)

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close