Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Ошибка stunnel AcquireCredentialsHandle
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline halt_perm  
#1 Оставлено : 25 февраля 2026 г. 18:16:00(UTC)
halt_perm

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.02.2026(UTC)
Сообщений: 2
Российская Федерация
Откуда: Пермь
Доброго времени суток!

Столкнулись с проблемой замены сертификатов в одном из сервисов stunnel. Стек это эксплуатируем достаточно давно, какие-либо банальные ошибки маловероятны, возможно какая-то программная проблема. Нужен совет.

Имеем старый сертификат который пока работает.

Issuer : E=vpnca@cryptopro.ru, C=RU, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro VPN CA GOST 2012
Subject : E=support@сompany.ru, O=ООО Компания, L=Москва, C=RU, CN=*.company.ru
Serial : 0x02E873DC0091B2D3A64542D2C836F40526
SHA1 Thumbprint : fefe233abfc9e344507879315417aa863813316e
SubjKeyID : e8bc6a948df7b481d7c7d5ab47187a5f7f968048
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 27/02/2025 13:12:39 UTC
Not valid after : 27/02/2026 13:22:39 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\93169e04.000\E0F9
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : Provider Type: 80, Key Spec: 1, Flags: 0x0
CA cert URL : http://vpnca.cryptopro.r...c27dc50e70c7e06aa7d7.crt
CDP : http://cdp.cryptopro.ru/...c27dc50e70c7e06aa7d7.crl
CDP : http://vpnca.cryptopro.r...c27dc50e70c7e06aa7d7.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.8.2.2
1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
=============================================================================

Выпустили новый сертификат

=============================================================================
1-------
Issuer : E=vpnca@cryptopro.ru, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro GOST VPN CA
Subject : E=support@сompany.ru, O=ООО Компания, L=Москва, C=RU, CN=*.company.ru
Serial : 0x63A451E2DFAEB783436E12C4019C8EF9
SHA1 Thumbprint : 8c9b8b0a892605cb2e33a0c627c8ff3b9f31906d
SubjKeyID : b7e2892699a324a26888811a15c1259f288e7963
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 24/02/2026 09:16:54 UTC
Not valid after : 24/02/2027 09:16:54 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\te-7b7b4.000\4D63
Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Provider Info : Provider Type: 80, Key Spec: 2, Flags: 0x0
CA cert URL : http://vpnca25.cryptopro...B475878330C42F8D9BC0.crt
CDP : http://cdp.cryptopro.ru/...B475878330C42F8D9BC0.crl
CDP : http://vpnca25.cryptopro...B475878330C42F8D9BC0.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.8.2.2
1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
=============================================================================

Сам Крипто-Про с сертификатом работает, импорт, экспорт и пр.

При запуске stunnel парадет с ошибкой :
2026.02.25 14:38:03 LOG5[13:140023743168320]: stunnel 4.18 on x86_64-pc-linux-gnu
2026.02.25 14:38:03 LOG5[13:140023743168320]: Threading:PTHREAD Sockets:POLL,IPv6
2026.02.25 14:38:03 LOG6[13:140023743168320]: file ulimit = 1024 (can be changed with 'ulimit -n')
2026.02.25 14:38:03 LOG6[13:140023743168320]: poll() used - no FD_SETSIZE limit for file descriptors
2026.02.25 14:38:03 LOG5[13:140023743168320]: 0 clients allowed
2026.02.25 14:38:03 LOG7[13:140023743168320]: FD 5 in non-blocking mode
2026.02.25 14:38:03 LOG7[13:140023743168320]: FD 6 in non-blocking mode
2026.02.25 14:38:03 LOG7[13:140023743168320]: FD 7 in non-blocking mode
2026.02.25 14:38:03 LOG7[13:140023743168320]: SO_REUSEADDR option set on accept socket
2026.02.25 14:38:03 LOG7[13:140023743168320]: https bound to 0.0.0.0:1543
2026.02.25 14:38:03 LOG7[13:140023743168320]: Created pid file /stunnel/stunnel.pid
2026.02.25 14:38:03 LOG7[13:140023743168320]: open file /tls/certs/ad.cer with certificate
2026.02.25 14:38:03 LOG5[13:140023743168320]: CertFindCertificateInStore not find certificate in LOCAL_MACHINE store. Looking at CURRENT_USER
2026.02.25 14:38:03 LOG3[13:140023743168320]: **** Error 0x80090304 returned by AcquireCredentialsHandle

2026.02.25 14:38:03 LOG3[13:140023743168320]: Error creating credentials

2026.02.25 14:38:03 LOG7[13:140023743168320]: removing pid file /stunnel/stunnel.pid


Экспорт из крипто - без проблем
certmgr -export -store uMy -dest /tls/certs/ad.cer
Exporting complete

т.е. сертификат совпадает 100%.

stunnel запускается командой stunnel_thread /stunnel/stunnel.conf
foreground = yes
output = /dev/stdout
pid = /stunnel/stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[https]
accept = 0.0.0.0:1543
cert = /tls/certs/ad.cer
client = no
connect = 127.0.0.1:8000
verify = 1


Едиственно что заметили в отличиях сертификата
старый
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
новый
Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider

Сертификат размещен в хранилище
certmgr -list -store uMy
1-------
Issuer : E=vpnca@cryptopro.ru, C=RU, S=Moscow, L=Moscow, O="LLC ""Crypto-Pro""", CN=CryptoPro GOST VPN CA
Subject : E=support@сompany.ru, O=ООО Компания, L=Москва, C=RU, CN=*.company.ru
Serial : 0x63A451E2DFAEB783436E12C4019C8EF9
SHA1 Thumbprint : 8c9b8b0a892605cb2e33a0c627c8ff3b9f31906d
SubjKeyID : b7e2892699a324a26888811a15c1259f288e7963
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before : 24/02/2026 09:16:54 UTC
Not valid after : 24/02/2027 09:16:54 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\te-7b7b4.000\4D63
Provider Name : Crypto-Pro GOST R 34.10-2012 Cryptographic Service Provider
Provider Info : Provider Type: 80, Key Spec: 2, Flags: 0x0
CA cert URL : http://vpnca25.cryptopro...B475878330C42F8D9BC0.crt
CDP : http://cdp.cryptopro.ru/...B475878330C42F8D9BC0.crl
CDP : http://vpnca25.cryptopro...B475878330C42F8D9BC0.crl
Extended Key Usage : 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
1.3.6.1.5.5.8.2.2
1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
=============================================================================
Вверх
Offline halt_perm  
#2 Оставлено : 25 февраля 2026 г. 18:42:02(UTC)
halt_perm

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.02.2026(UTC)
Сообщений: 2
Российская Федерация
Откуда: Пермь
Гипотезу с разными Provider Name проверли,
certmgr -inst -pfx -keep_exportable -provtype 80 -provname "Crypto-Pro GOST R 34.10-2012 KC1 CSP" -file tls/certs/ad.pfx

ошибка таж-же, теперь отличия только в Key Spec полю

Отредактировано пользователем 25 февраля 2026 г. 18:45:08(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET