Статус: Новичок
Группы: Участники
Зарегистрирован: 04.08.2025(UTC) Сообщений: 5  Откуда: Симферополь Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день! Есть приложение написанное на Java, через приложение пытаюсь подключится к сайте api.fincert.cbr.ru используя stunnel, выдает ошибку "Unsupported or unrecognized SSL message" Настройки stunnel проводил согласно документации от Fincert, перепробовал множество вариантов конфигураций самостоятельно. Ошибка или не поддерживаемый ssl или соединение сброшено есть установлен параметр verify отличный от 0. Есть ли рекомендации что можно делать с stunnel что бы приложение заработало или может какие то настройки сети нужно сделать(сервер находится dmz зоне)?
2025.08.04 14:20:32 LOG7[20]: Service [tls1-client-https-1] started
2025.08.04 14:20:32 LOG7[20]: Setting local socket options (FD=2428)
2025.08.04 14:20:32 LOG7[20]: Option TCP_NODELAY set on local socket
2025.08.04 14:20:32 LOG5[20]: Service [tls1-client-https-1] accepted connection from 127.0.0.1:58605
2025.08.04 14:20:32 LOG6[20]: s_connect: connecting 212.40.223.94:443
2025.08.04 14:20:32 LOG7[20]: s_connect: s_poll_wait 212.40.223.94:443: waiting 10 seconds
2025.08.04 14:20:32 LOG7[20]: FD=2748 ifds=rwx ofds=---
2025.08.04 14:20:32 LOG5[20]: s_connect: connected 212.40.223.94:443
2025.08.04 14:20:32 LOG5[20]: Service [tls1-client-https-1] connected remote server from 10.61.188.12:58606
2025.08.04 14:20:32 LOG7[20]: Setting remote socket options (FD=2748)
2025.08.04 14:20:32 LOG7[20]: Option TCP_NODELAY set on remote socket
2025.08.04 14:20:32 LOG7[20]: Remote descriptor (FD=2748) initialized
2025.08.04 14:20:32 LOG6[20]: msspi: try open cert = "C:\stunnel\User\user.cer" as file
2025.08.04 14:20:32 LOG6[20]: Peer certificate not required
2025.08.04 14:20:32 LOG6[20]: msspi: TLSv1.2 connected (FF85)
2025.08.04 14:20:32 LOG6[20]: TLS closed (SSL_read)
2025.08.04 14:20:32 LOG7[20]: Sent socket write shutdown
2025.08.04 14:20:32 LOG6[20]: Read socket closed (readsocket)
2025.08.04 14:20:32 LOG7[20]: Sending close_notify alert
2025.08.04 14:20:32 LOG6[20]: SSL_shutdown successfully sent close_notify alert
2025.08.04 14:20:32 LOG5[20]: Connection closed: 462 byte(s) sent to TLS, 352 byte(s) sent to socket
2025.08.04 14:20:32 LOG7[20]: Remote descriptor (FD=2748) closed
2025.08.04 14:20:32 LOG7[20]: Local descriptor (FD=2428) closed
2025.08.04 14:20:32 LOG7[20]: Service [tls1-client-https-1] finished (0 left)
verify = 0
output=C:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[tls1-client-https-1]
client = yes
sslVersion = TLSv1.2
accept = api.fincert.cbr.ru:1501
connect = 212.40.223.94:443
cert=C:\stunnel\User\user.cer
#pincode = 1234567890
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,556
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 520 раз в 367 постах
|
Автор: MR.Lehno  Есть приложение написанное на Java, через приложение пытаюсь подключится к сайте api.fincert.cbr.ru используя stunnel, выдает ошибку "Unsupported or unrecognized SSL message"
Приложение на Java выдаёт ошибку SSL, но ведь SSL уже терминирован stunnel (в логе stunnel нет ошибок), поэтому в Java используйте чистый http. |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.08.2025(UTC) Сообщений: 5 Откуда: Симферополь Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: pd Автор: MR.Lehno Есть приложение написанное на Java, через приложение пытаюсь подключится к сайте api.fincert.cbr.ru используя stunnel, выдает ошибку "Unsupported or unrecognized SSL message"
Приложение на Java выдаёт ошибку SSL, но ведь SSL уже терминирован stunnel (в логе stunnel нет ошибок), поэтому в Java используйте чистый http. Спасибо большое! Действительно ошибка была в этом.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 24.07.2023(UTC) Сообщений: 2 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
здравствуйте !
я уже какой день пытаюсь разобраться с финцертом, а именно сделал туда туннель, через stunnel от крипто но не могу понять как его проверить и что с ним делать дальше
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 24.07.2023(UTC) Сообщений: 2 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
здравствуйте !
я уже какой день пытаюсь разобраться с финцертом, а именно сделал туда туннель, через stunnel от крипто но не могу понять как его проверить и что с ним делать дальше
туннель создаю на api.fincert.cbr.ru:443 с сертификатом пользователя выданного финцертом и при обращении к нему получаю:
421 Misdirected Request
не могли бы вы рассказать, как вы делали туннель и помочь мне разобраться с этими запросами в финцерт.
при обращении в ТП финцерта получил ответ, что у них нет такой инструкции.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.08.2025(UTC) Сообщений: 5 Откуда: Симферополь Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Автор: Den129 здравствуйте !
я уже какой день пытаюсь разобраться с финцертом, а именно сделал туда туннель, через stunnel от крипто но не могу понять как его проверить и что с ним делать дальше Добрый день, telnet'ом проверяйте telnet api.fincert.cbr.ru порт который указан у вас в конфиге stunnel Если у вас все настроено верно то в stunnel будет видно что вы подключились и дальше трафик будет маршрутизирован куда вам нужно. Если проверьте что в файле hosts у вас указано 127.0.0.1 api.fincert.cbr.ru. На сайте финцерта есть инструкция по настройке stunnel можете ее поискать.  Instrukcija Stunnel Windows.docx (1,112kb) загружен 4 раз(а).Отредактировано пользователем 7 августа 2025 г. 16:04:37(UTC)
| Причина: Не указана
|
1 пользователь поблагодарил MR.Lehno за этот пост.
|
Den129 оставлено 07.08.2025(UTC)
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.07.2024(UTC) Сообщений: 2 Откуда: Астрахань
|
Добрый день! Проблема с подключением к lk.fincert.cbr.ru. Шлю запросы через telnet на сервер с stunnel c конфигом Цитата:
[fincert]
client = yes
accept = 0.0.0.0:8047
#connect = lk.fincert.cbr.ru:443
connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru
verify = 1
cert=/root/certs/fincert/fincert.cer
#pincode = 12345678
Логи ошибки Цитата:
2025.08.15 09:12:08 LOG7[main]: Service [fincert] accepted (FD=4) from 192.168.2.37:36074
2025.08.15 09:12:08 LOG7[100]: Service [fincert] started
2025.08.15 09:12:08 LOG7[100]: Setting local socket options (FD=4)
2025.08.15 09:12:08 LOG7[100]: Option TCP_NODELAY set on local socket
2025.08.15 09:12:08 LOG5[100]: Service [fincert] accepted connection from 192.168.2.37:36074
2025.08.15 09:12:08 LOG6[100]: s_connect: connecting 212.40.223.94:443
2025.08.15 09:12:08 LOG7[100]: s_connect: s_poll_wait 212.40.223.94:443: waiting 10 seconds
2025.08.15 09:12:08 LOG7[100]: FD=7 events=0x2001 revents=0x0
2025.08.15 09:12:08 LOG7[100]: FD=32 events=0x2005 revents=0x0
2025.08.15 09:12:08 LOG5[100]: s_connect: connected 212.40.223.94:443
2025.08.15 09:12:08 LOG5[100]: Service [fincert] connected remote server from 192.168.2.249:45842
2025.08.15 09:12:08 LOG7[100]: Setting remote socket options (FD=32)
2025.08.15 09:12:08 LOG7[100]: Option TCP_NODELAY set on remote socket
2025.08.15 09:12:08 LOG7[100]: Remote descriptor (FD=32) initialized
2025.08.15 09:12:08 LOG6[100]: msspi: try open cert = "/root/certs/fincert/fincert.cer" as file
2025.08.15 09:12:08 LOG3[100]: msspi: msspi_set_mycert_options failed (cert = "/root/certs/fincert/fincert.cer", pin = "")
2025.08.15 09:12:08 LOG5[100]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2025.08.15 09:12:08 LOG7[100]: Remote descriptor (FD=32) closed
2025.08.15 09:12:08 LOG7[100]: Local descriptor (FD=4) closed
2025.08.15 09:12:08 LOG7[100]: Service [fincert] finished (0 left)
Не знаю куда дальше копать, загрузил пользовательский серт, корневой и серверные. Пользовательский связал с контейнером PrivateKey Link : Yes . Подскажите пожалуйсат, что можно еще проверить? Отредактировано пользователем 15 августа 2025 г. 14:39:34(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 04.08.2025(UTC) Сообщений: 5 Откуда: Симферополь Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 1 раз в 1 постах
|
Добрый день! Не думаю что вам не нужно использовать параметр verify=1, там должно быть verify=0 (я уточнял у саппорта финцерта) Автор: freddy7753 Добрый день! Проблема с подключением к lk.fincert.cbr.ru. Шлю запросы через telnet на сервер с stunnel c конфигом Цитата:
[fincert]
client = yes
accept = 0.0.0.0:8047
#connect = lk.fincert.cbr.ru:443
connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru
verify = 1
cert=/root/certs/fincert/fincert.cer
#pincode = 12345678
Логи ошибки Цитата:
2025.08.15 09:12:08 LOG7[main]: Service [fincert] accepted (FD=4) from 192.168.2.37:36074
2025.08.15 09:12:08 LOG7[100]: Service [fincert] started
2025.08.15 09:12:08 LOG7[100]: Setting local socket options (FD=4)
2025.08.15 09:12:08 LOG7[100]: Option TCP_NODELAY set on local socket
2025.08.15 09:12:08 LOG5[100]: Service [fincert] accepted connection from 192.168.2.37:36074
2025.08.15 09:12:08 LOG6[100]: s_connect: connecting 212.40.223.94:443
2025.08.15 09:12:08 LOG7[100]: s_connect: s_poll_wait 212.40.223.94:443: waiting 10 seconds
2025.08.15 09:12:08 LOG7[100]: FD=7 events=0x2001 revents=0x0
2025.08.15 09:12:08 LOG7[100]: FD=32 events=0x2005 revents=0x0
2025.08.15 09:12:08 LOG5[100]: s_connect: connected 212.40.223.94:443
2025.08.15 09:12:08 LOG5[100]: Service [fincert] connected remote server from 192.168.2.249:45842
2025.08.15 09:12:08 LOG7[100]: Setting remote socket options (FD=32)
2025.08.15 09:12:08 LOG7[100]: Option TCP_NODELAY set on remote socket
2025.08.15 09:12:08 LOG7[100]: Remote descriptor (FD=32) initialized
2025.08.15 09:12:08 LOG6[100]: msspi: try open cert = "/root/certs/fincert/fincert.cer" as file
2025.08.15 09:12:08 LOG3[100]: msspi: msspi_set_mycert_options failed (cert = "/root/certs/fincert/fincert.cer", pin = "")
2025.08.15 09:12:08 LOG5[100]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2025.08.15 09:12:08 LOG7[100]: Remote descriptor (FD=32) closed
2025.08.15 09:12:08 LOG7[100]: Local descriptor (FD=4) closed
2025.08.15 09:12:08 LOG7[100]: Service [fincert] finished (0 left)
Не знаю куда дальше копать, загрузил пользовательский серт, корневой и серверные. Пользовательский связал с контейнером PrivateKey Link : Yes . Подскажите пожалуйсат, что можно еще проверить?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,556
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 520 раз в 367 постах
|
Автор: freddy7753 Цитата:
2025.08.15 09:12:08 LOG6[100]: msspi: try open cert = "/root/certs/fincert/fincert.cer" as file
2025.08.15 09:12:08 LOG3[100]: msspi: msspi_set_mycert_options failed (cert = "/root/certs/fincert/fincert.cer", pin = "")
Не знаю куда дальше копать, загрузил пользовательский серт, корневой и серверные. Пользовательский связал с контейнером PrivateKey Link : Yes . Подскажите пожалуйсат, что можно еще проверить? Типичные ошибки, такие как работа от другого пользователя, отсутствие привязки и т.д. могут быть видны в системном журнале: - https://support.cryptopr...opro-csp-50-r2-v-os-unix- https://gist.github.com/...92d68c00d3babcca62693964 |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
