Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
|
Автор: freddy7753  В логах вижу только такие ошибки Цитата:
g 18 09:52:44 nb cpcsp[13958]: 09:52:44.195635 support_an_fopen:87 p:13958 t:0x0x7fc8a6988c10 support_an_fopen("/var/opt/cprocsp/users/root/policies.ini", "rb") = 0x(nil) fail No such file or directory(2)
Aug 18 09:52:44 nbki cpcsp[13958]: 09:52:44.196057 support_an_fopen:87 p:13958 t:0x0x7fc8a6988c10 support_an_fopen("/var/opt/cprocsp/users/root/policies.ini", "rb") = 0x(nil) fail No such file or directory(2)
Aug 18 09:52:44 nb cpcsp[13958]: <capi20>CryptRetrieveObjectByUrlA Object not found, error code : 80092004
Aug 18 09:52:44 nb cpcsp[13958]: message repeated 2 times: [ <capi20>CryptRetrieveObjectByUrlA Object not found, error code : 80092004]
Aug 18 09:52:44 nb cpcsp[13958]: <capi20>DownloadFromNetwork () UrlRetriever failed (CURLcode: 12006 URL: ldap://crl1.ca.cbr.ru/cn=aucbr-D944F67B23B815C9803690ECFE34B2C5F09652A2,c=ru?cACertificate).
Aug 18 09:52:44 nb cpcsp[13958]: <capi20>CryptRetrieveObjectByUrlA DownloadFromNetwork failed, error code : 80092004
Aug 18 09:52:44 nb cpcsp[13958]: <capi20>DownloadFromNetwork () UrlRetriever failed (CURLcode: 12006 URL: ldap://crl2.ca.cbr.ru/cn=aucbr-D944F67B23B815C9803690ECFE34B2C5F09652A2,c=ru?cACertificate).
Aug 18 09:52:44 nb cpcsp[13958]: <capi20>CryptRetrieveObjectByUrlA DownloadFromNetwork failed, error code : 80092004
Aug 18 09:52:44 nb cpcsp[13958]: <libssp>AddToMessageLog CryptoPro TLS. Used certificate is not valid. TrustStatus: 0x20
Aug 18 09:52:49 nb cpcsp[13958]: LOG3[1]: msspi: msspi_set_mycert_options failed (cert = "/root/certs/fincert/fincert.cer", pin = "")
Не очень понятно. Попробуйте команду: Код:CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/certmgr -list -chain
С помощью неё убедимся что ваш сертификат пригоден к использованию. Далее вместо cert = "/root/certs/fincert/fincert.cer" будем использовать его SHA1 Thumbprint явно. Например для: Цитата:
<...>
Certificate chain : Verified successfully.
#0:
Issuer : test-ca
Subject : test-ca
SHA1 Thumbprint : 442739e052630c0b423685b04b7e58ab3658f7b8
#1:
Subject : gost-any
SHA1 Thumbprint : 313a043f1b8d33758e4d4c760543c8be4d055eab
<...>
Пишем в конфиге stunnel-msspi: Цитата:
cert = 313a043f1b8d33758e4d4c760543c8be4d055eab
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.07.2024(UTC) Сообщений: 8  Откуда: Астрахань
|
Прописал в конфигурации SHA1 Thumbprint, не помогло, ошибка все та же.
LOG3[5]: msspi: msspi_set_mycert_options failed (cert = "7e91d81d3fc177245de3f1d21692a2a025fa325a", pin = "")
CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/certmgr -list -chain команда не работает на ubuntu
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
|
Автор: freddy7753 CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/certmgr -list -chain команда не работает на ubuntu Это крайне странно. Тогда лучше начать сначала: подробно напишите как на чистой системе воспроизвести вашу ошибку. У нас не воспроизводится. |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,556
Сказал(а) «Спасибо»: 44 раз
Поблагодарили: 650 раз в 448 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.07.2024(UTC) Сообщений: 8 Откуда: Астрахань
|
Экспортировал контейнер и серт из pfx, пароли не ставил Закинул на сервер /var/opt/cprocsp/keys/root/client.000 Затем установил серт с привязкой к контейнеру /opt/cprocsp/bin/amd64/certmgr -inst -file client.cer -cont '\\.\HDIMAGE\client.000' Проверил стор /opt/cprocsp/bin/amd64/certmgr -list -store uMy, PrivateKey Link со значением yes Прописал в конфигурации [fincert] client = yes accept = 0.0.0.0:8047 #connect = lk.fincert.cbr.ru:443 connect = 212.40.223.94:443 sni = lk.fincert.cbr.ru verify = 0 #cert=/root/certs/fincert.cer cert=7e91d81d3fc177245de3f1d21692a2a025fa325a #pincode = 12345678 И в конце пытаюсь постучатся по telnet с другого сервера к lk.fincert.cbr.ru (в hosts прописан ip крипто шлюза для этого домена) Еще установил корневые и промежуточные серты финцерта, также список отзыва Отредактировано пользователем 18 августа 2025 г. 15:50:57(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.07.2024(UTC) Сообщений: 8 Откуда: Астрахань
|
Добрый день!
Получилось подключится к финцерту после того, как я поставил крипто про версии 5.0.13, stunnel-msspi версии 5.71 на ОС ubuntu-server 22.04.
Старый сервер работал на ubuntu-server 20.04, крипто про 5.0.11128, stunnel-msspi 5.58.
Подскажите пожалуйста, какие программы нужно обновить на старом сервере, если я хочу использовать stunnel для запросов к финцерту и есть ли в этом смысл?
Лицензия на крипто про на старом сервере.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
