Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: Asterix_0712  не помогло. Точно осталась та же самая ошибка? Альтернативно можно отключить расширение SigAlgs в TLS: Код:reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters" /v "tls_client_disable_extension_SigAlgsCert" /t REG_DWORD /d 1 /f
Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters]
"tls_client_disable_extension_SigAlgsCert"=dword:00000001
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.02.2025(UTC) Сообщений: 7  
|
Автор: pd Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Cryptography\CurrentVersion\Parameters]
"tls_client_disable_extension_SigAlgsCert"=dword:00000001
Благодарю - после добавления параметра и перезапуска сеанса пользователя Stunnel - подключение к ГИИС прошло успешно. Проблема решена, но метод смущает)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: Asterix_0712 Проблема решена, но метод смущает) Проблема на самом деле довольно объёмная, связана с различными реализациями TLS 1.3 по ГОСТ и тем, как они влияют на обратную совместимость различных реализаций TLS ниже 1.3 по ГОСТ. Оригинальный TLS 1.3 также активировался крайне осторожно, чтобы не сломать обратную совместимость с теми, кто умеет только TLS 1.2 и ниже. На текущий момент аналогичные шаги проходит ГОСТ вариант TLS 1.3, постепенно начинает внедряться и где-то возникают ошибки. На безопасность это не влияет. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.02.2025(UTC) Сообщений: 7
|
Автор: pd Автор: Asterix_0712 Проблема решена, но метод смущает) Проблема на самом деле довольно объёмная увы. проработало (страница в браузере) несколько часов. (или меньше - не трогали, не обращали внимания). При отправке первого документа в ГИИС - коннект отвалился и более не поднимался (ошибка и в 1С, и страница в браузере не открывается). Код:
2025.02.04 18:10:41 LOG6[service]: Initializing inetd mode configuration
2025.02.04 18:10:41 LOG7[service]: Running on Windows 6.2
2025.02.04 18:10:41 LOG7[service]: No limit detected for the number of clients
2025.02.04 18:10:41 LOG5[service]: stunnel 5.72 on x86-pc-msvc-1929 platform
2025.02.04 18:10:41 LOG5[service]: Compiled without OPENSSL
2025.02.04 18:10:41 LOG5[service]: Threading:WIN32 Sockets:SELECT,IPv6 TLS:OCSP,SNI
2025.02.04 18:10:41 LOG7[service]: errno: (*_errno())
2025.02.04 18:10:41 LOG6[service]: Initializing inetd mode configuration
2025.02.04 18:10:41 LOG7[service]: Running on Windows 6.2
2025.02.04 18:10:41 LOG5[service]: Reading configuration from file C:\stunnel\stunnel.conf
2025.02.04 18:10:41 LOG5[service]: UTF-8 byte order mark detected
2025.02.04 18:10:41 LOG6[service]: Initializing service [https]
2025.02.04 18:10:41 LOG5[service]: Configuration successful
2025.02.04 18:10:41 LOG7[service]: Deallocating deployed section defaults
2025.02.04 18:10:41 LOG7[service]: Binding service [https]
2025.02.04 18:10:41 LOG7[service]: Listening file descriptor created (FD=724)
2025.02.04 18:10:41 LOG7[service]: Setting accept socket options (FD=724)
2025.02.04 18:10:41 LOG7[service]: Option SO_EXCLUSIVEADDRUSE set on accept socket
2025.02.04 18:10:41 LOG6[service]: Service [https] (FD=724) bound to 127.0.0.1:1500
2025.02.04 18:10:41 LOG6[service]: Accepting new connections
2025.02.04 18:10:54 LOG7[service]: Found 1 ready file descriptor(s)
2025.02.04 18:10:54 LOG7[service]: FD=688 ifds=r-x ofds=---
2025.02.04 18:10:54 LOG7[service]: FD=724 ifds=r-x ofds=r--
2025.02.04 18:10:54 LOG7[service]: Service [https] accepted (FD=76) from 127.0.0.1:56671
2025.02.04 18:10:54 LOG7[service]: Creating a new thread
2025.02.04 18:10:54 LOG7[service]: New thread created
2025.02.04 18:10:54 LOG7[0]: Service [https] started
2025.02.04 18:10:54 LOG7[0]: Setting local socket options (FD=76)
2025.02.04 18:10:54 LOG7[0]: Option TCP_NODELAY set on local socket
2025.02.04 18:10:54 LOG5[0]: Service [https] accepted connection from 127.0.0.1:56671
2025.02.04 18:10:54 LOG6[0]: s_connect: connecting 195.209.130.9:443
2025.02.04 18:10:54 LOG7[0]: s_connect: s_poll_wait 195.209.130.9:443: waiting 10 seconds
2025.02.04 18:10:54 LOG7[0]: FD=744 ifds=rwx ofds=---
2025.02.04 18:10:54 LOG7[service]: Found 1 ready file descriptor(s)
2025.02.04 18:10:54 LOG7[service]: FD=688 ifds=r-x ofds=---
2025.02.04 18:10:54 LOG7[service]: FD=724 ifds=r-x ofds=r--
2025.02.04 18:10:54 LOG7[service]: Service [https] accepted (FD=516) from 127.0.0.1:56673
2025.02.04 18:10:54 LOG7[service]: Creating a new thread
2025.02.04 18:10:54 LOG7[service]: New thread created
2025.02.04 18:10:54 LOG7[1]: Service [https] started
2025.02.04 18:10:54 LOG7[1]: Setting local socket options (FD=516)
2025.02.04 18:10:54 LOG7[1]: Option TCP_NODELAY set on local socket
2025.02.04 18:10:54 LOG5[1]: Service [https] accepted connection from 127.0.0.1:56673
2025.02.04 18:10:54 LOG6[1]: s_connect: connecting 195.209.130.9:443
2025.02.04 18:10:54 LOG7[1]: s_connect: s_poll_wait 195.209.130.9:443: waiting 10 seconds
2025.02.04 18:10:54 LOG7[1]: FD=768 ifds=rwx ofds=---
2025.02.04 18:10:55 LOG5[0]: s_connect: connected 195.209.130.9:443
2025.02.04 18:10:55 LOG5[0]: Service [https] connected remote server from 192.168.1.248:56672
2025.02.04 18:10:55 LOG7[0]: Setting remote socket options (FD=744)
2025.02.04 18:10:55 LOG7[0]: Option TCP_NODELAY set on remote socket
2025.02.04 18:10:55 LOG7[0]: Remote descriptor (FD=744) initialized
2025.02.04 18:10:55 LOG5[1]: s_connect: connected 195.209.130.9:443
2025.02.04 18:10:55 LOG5[1]: Service [https] connected remote server from 192.168.1.248:56674
2025.02.04 18:10:55 LOG7[1]: Setting remote socket options (FD=768)
2025.02.04 18:10:55 LOG7[1]: Option TCP_NODELAY set on remote socket
2025.02.04 18:10:55 LOG7[1]: Remote descriptor (FD=768) initialized
2025.02.04 18:10:55 LOG7[service]: Found 1 ready file descriptor(s)
2025.02.04 18:10:55 LOG7[service]: FD=688 ifds=r-x ofds=---
2025.02.04 18:10:55 LOG7[service]: FD=724 ifds=r-x ofds=r--
2025.02.04 18:10:55 LOG7[service]: Service [https] accepted (FD=1076) from 127.0.0.1:56676
2025.02.04 18:10:55 LOG7[service]: Creating a new thread
2025.02.04 18:10:55 LOG7[service]: New thread created
2025.02.04 18:10:55 LOG7[2]: Service [https] started
2025.02.04 18:10:55 LOG7[2]: Setting local socket options (FD=1076)
2025.02.04 18:10:55 LOG7[2]: Option TCP_NODELAY set on local socket
2025.02.04 18:10:55 LOG5[2]: Service [https] accepted connection from 127.0.0.1:56676
2025.02.04 18:10:55 LOG6[2]: s_connect: connecting 195.209.130.9:443
2025.02.04 18:10:55 LOG7[2]: s_connect: s_poll_wait 195.209.130.9:443: waiting 10 seconds
2025.02.04 18:10:55 LOG7[2]: FD=1100 ifds=rwx ofds=---
2025.02.04 18:10:55 LOG5[2]: s_connect: connected 195.209.130.9:443
2025.02.04 18:10:55 LOG5[2]: Service [https] connected remote server from 192.168.1.248:56677
2025.02.04 18:10:55 LOG7[2]: Setting remote socket options (FD=1100)
2025.02.04 18:10:55 LOG7[2]: Option TCP_NODELAY set on remote socket
2025.02.04 18:10:55 LOG7[2]: Remote descriptor (FD=1100) initialized
2025.02.04 18:11:04 LOG6[1]: Peer certificate not required
2025.02.04 18:11:04 LOG6[2]: Peer certificate not required
2025.02.04 18:11:06 LOG6[0]: Peer certificate not required
2025.02.04 18:11:06 LOG3[1]: SSL_connect
2025.02.04 18:11:06 LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2025.02.04 18:11:06 LOG7[1]: remote_fd reset (FD=768)
2025.02.04 18:11:06 LOG7[1]: Remote descriptor (FD=768) closed
2025.02.04 18:11:06 LOG7[1]: local_rfd/local_wfd reset (FD=516)
2025.02.04 18:11:06 LOG7[1]: Local descriptor (FD=516) closed
2025.02.04 18:11:06 LOG7[1]: Service [https] finished (2 left)
2025.02.04 18:11:06 LOG3[2]: SSL_connect: Unknown error (-2146893019)
2025.02.04 18:11:06 LOG5[2]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2025.02.04 18:11:06 LOG7[2]: remote_fd reset (FD=1100)
2025.02.04 18:11:06 LOG7[2]: Remote descriptor (FD=1100) closed
2025.02.04 18:11:06 LOG7[2]: local_rfd/local_wfd reset (FD=1076)
2025.02.04 18:11:06 LOG7[2]: Local descriptor (FD=1076) closed
2025.02.04 18:11:06 LOG7[2]: Service [https] finished (1 left)
2025.02.04 18:11:06 LOG3[0]: SSL_connect
2025.02.04 18:11:06 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2025.02.04 18:11:06 LOG7[0]: remote_fd reset (FD=744)
2025.02.04 18:11:06 LOG7[0]: Remote descriptor (FD=744) closed
2025.02.04 18:11:06 LOG7[0]: local_rfd/local_wfd reset (FD=76)
2025.02.04 18:11:06 LOG7[0]: Local descriptor (FD=76) closed
2025.02.04 18:11:06 LOG7[0]: Service [https] finished (0 left)
conf-файл ныне имеет вид: Код:output=c:\stunnel\stunnel.log
socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1
debug=7
[https]
client=yes
accept=127.0.0.1:1500
connect=195.209.130.9:443
cert=012***
verify=0
sslVersionMax=TLSv1.2
ради интереса поставил Stunnel на другом компе (в той же локальной сети) - он взлетел, сразу, всё ок. но за тем компом не оставить ЭЦП(((
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,531
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 36 раз
Поблагодарили: 494 раз в 350 постах
|
Автор: Asterix_0712 2025.02.04 18:11:06 LOG3[2]: SSL_connect: Unknown error (-2146893019) Это другая ошибка, SEC_E_UNTRUSTED_ROOT, вероятно теперь сервер ругается на ваш сертификат. Если я по случайному сертификату от себя пытаюсь зайти, у меня ошибка такая же возникает. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
