Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
3 Страницы<123>
SDK/WebCLient.c
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline rozhkov  
#11 Оставлено : 6 декабря 2011 г. 18:12:02(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про

http://cryptopro.ru/site...erguidestunnel_linux.pdf

2.4.2. Пример файла конфигурации для клиента
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[https]client = yes
accept=comp1:1500
connect = srv1.test.ru:1502
cert=/etc/stunnel/client.cer

stunnel будет искать указанный сертификат в хранилище, если он привязан к етокену, то будет использоваться етокен.
также много информации по stunnel тут http://www.stunnel.org/
Вверх
Offline Elijah  
#12 Оставлено : 6 декабря 2011 г. 20:27:16(UTC)
Elijah

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2011(UTC)
Сообщений: 37
экспортирую сертификат

/opt/cprocsp/bin/ia32/certmgr -export -dest client.cer -dn E=aaa@bbb.ru -base64

говорит, что привязан к етокену

конвертирую p7b корневого в PEM

openssl pkcs7 -inform DER -print_certs -in root_2011.p7b -out root.cer

конфиг

pid=/opt/cprocsp/tmp/stunnel_cli.pid
;output=/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
foreground = yes

[https]
client = yes
accept=192.168.56.101:1111
connect = somesite.ru:443
cert=/opt/cprocsp/WebClient/client.cer
cafile=/opt/cprocsp/WebClient/root.cer

лог

2011.12.06 15:24:17 LOG5[5604:3066480336]: stunnel 4.18 on i686-pc-linux-gnu
2011.12.06 15:24:17 LOG5[5604:3066480336]: Threading:PTHREAD Sockets:POLL,IPv4 Auth:LIBWRAP
2011.12.06 15:24:17 LOG6[5604:3066480336]: file ulimit = 1024 (can be changed with 'ulimit -n')
2011.12.06 15:24:17 LOG6[5604:3066480336]: poll() used - no FD_SETSIZE limit for file descriptors
2011.12.06 15:24:17 LOG5[5604:3066480336]: 0 clients allowed
2011.12.06 15:24:17 LOG7[5604:3066480336]: FD 5 in non-blocking mode
2011.12.06 15:24:17 LOG7[5604:3066480336]: FD 6 in non-blocking mode
2011.12.06 15:24:17 LOG7[5604:3066480336]: FD 7 in non-blocking mode
2011.12.06 15:24:17 LOG7[5604:3066480336]: SO_REUSEADDR option set on accept socket
2011.12.06 15:24:17 LOG7[5604:3066480336]: https bound to 192.168.56.101:1111
2011.12.06 15:24:17 LOG7[5604:3066480336]: Created pid file /opt/cprocsp/tmp/stunnel_cli.pid
2011.12.06 15:24:19 LOG7[5604:3066480336]: https accepted FD=8 from 192.168.56.1:55226
2011.12.06 15:24:19 LOG7[5604:3064834928]: client start
2011.12.06 15:24:19 LOG7[5604:3064834928]: https started
2011.12.06 15:24:19 LOG7[5604:3064834928]: FD 8 in non-blocking mode
2011.12.06 15:24:19 LOG7[5604:3064834928]: TCP_NODELAY option set on local socket
2011.12.06 15:24:19 LOG7[5604:3064834928]: FD 9 in non-blocking mode
2011.12.06 15:24:19 LOG7[5604:3064834928]: FD 10 in non-blocking mode
2011.12.06 15:24:19 LOG7[5604:3064834928]: Connection from 192.168.56.1:55226 permitted by libwrap
2011.12.06 15:24:19 LOG5[5604:3064834928]: https connected from 192.168.56.1:55226
2011.12.06 15:24:20 LOG7[5604:3066480336]: Cleaning up the signal pipe
2011.12.06 15:24:20 LOG6[5604:3066480336]: Child process 5606 finished with code 0
2011.12.06 15:24:20 LOG7[5604:3064834928]: FD 12 in non-blocking mode
2011.12.06 15:24:20 LOG7[5604:3064834928]: https connecting
2011.12.06 15:24:20 LOG7[5604:3064834928]: connect_wait: waiting 10 seconds
2011.12.06 15:24:20 LOG7[5604:3064834928]: connect_wait: connected
2011.12.06 15:24:20 LOG7[5604:3064834928]: Remote FD=12 initialized
2011.12.06 15:24:20 LOG7[5604:3064834928]: TCP_NODELAY option set on remote socket
2011.12.06 15:24:20 LOG7[5604:3064834928]: start SSPI connect
2011.12.06 15:24:20 LOG7[5604:3064834928]: open file /opt/cprocsp/WebClient/client.cer with certificate
2011.12.06 15:24:20 LOG3[5604:3064834928]: CertCreateCertificateContext failed: 2148085760d

2011.12.06 15:24:20 LOG3[5604:3064834928]: Error creating credentials
2011.12.06 15:24:20 LOG5[5604:3064834928]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2011.12.06 15:24:20 LOG7[5604:3064834928]: free Buffers
2011.12.06 15:24:20 LOG7[5604:3064834928]: delete c->hClientCreds
2011.12.06 15:24:20 LOG5[5604:3064834928]: incomp_mess = 0, extra_data = 0
2011.12.06 15:24:20 LOG7[5604:3064834928]: https finished (0 left)
Вверх
Offline rozhkov  
#13 Оставлено : 6 декабря 2011 г. 22:30:04(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
Сервер к которому Вы подключаетесь ответы дает на порту 1111 ?
Вверх
Offline Elijah  
#14 Оставлено : 6 декабря 2011 г. 22:32:10(UTC)
Elijah

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2011(UTC)
Сообщений: 37
rozhkov написал:
Сервер к которому Вы подключаетесь ответы дает на порту 1111 ?


Я же, вроде, принимаю на 1111, а подключаюсь к 443

при подключении телнетом сразу рвется соединение с сообщением, что сервер закрыл соединение.

Отредактировано пользователем 6 декабря 2011 г. 22:49:55(UTC)  | Причина: Не указана
Вверх
Offline Elijah  
#15 Оставлено : 6 декабря 2011 г. 22:34:46(UTC)
Elijah

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2011(UTC)
Сообщений: 37
Меня смущает то, что на eToken есть пин, но нигде я его не вводил.
Вверх
Offline Elijah  
#16 Оставлено : 6 декабря 2011 г. 22:45:53(UTC)
Elijah

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2011(UTC)
Сообщений: 37
Вот еще что интересно, при экспорте certmgr сообщает

PrivateKey Link: Yes. Container: SCARD\ETOKEN_PRO32_*******************************
=============================================================================
Export complete.

но

/opt/cprocsp/bin/ia32/certmgr -list -f client.cer

PrivateKey Link: No
Вверх
Offline Elijah  
#17 Оставлено : 7 декабря 2011 г. 5:52:17(UTC)
Elijah

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2011(UTC)
Сообщений: 37
Если экспортировать не в base64, то stunnel вообще падает.
Вверх
Offline rozhkov  
#18 Оставлено : 7 декабря 2011 г. 14:02:10(UTC)
rozhkov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 25.01.2011(UTC)
Сообщений: 589
Откуда: Крипто-Про
Elijah написал:
Я же, вроде, принимаю на 1111, а подключаюсь к 443

Т.е. сервер Вам отсылает данные на порту 1111?
Elijah написал:
Меня смущает то, что на eToken есть пин, но нигде я его не вводил.

Если есть GUI, установите motif из репозиториев и rdr-giu из дистрибутива КриптоПро CSP.
Elijah написал:
Вот еще что интересно, при экспорте certmgr сообщает

PrivateKey Link: Yes. Container: SCARD\ETOKEN_PRO32_*******************************
=============================================================================
Export complete.

но

/opt/cprocsp/bin/ia32/certmgr -list -f client.cer

PrivateKey Link: No

Т.к. ссылка на закрытый ключ на сертификат который в хранилище установлен, а не в экспортированном из хранилища сертификате.
Elijah написал:
Если экспортировать не в base64, то stunnel вообще падает.

Он работает только с сертификатами в кодировке base-64.

Как вариант попробуйте так /opt/cprocsp/bin/<архитектура>/csptestf -tlsc -server somesite.ru -port 443 -v -v > /tmp/tlsc.txt
и выложите файл tlsc.txt
Вверх
Offline Elijah  
#19 Оставлено : 7 декабря 2011 г. 14:28:06(UTC)
Elijah

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2011(UTC)
Сообщений: 37
CSP (Type:71) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
CSP (Type:75) v3.6.5359 KC1 Release Ver:3.6.6497 OS:Linux CPU:IA32 FastCode:READY,ENABLED.
/opt/cprocsp/bin/ia32/csptestf -tlsc -server somesite.ru -nocheck -file aaa/bbb.aspx -v -v
5 algorithms supported:
[0] 1.2.643.2.2.21 (Ð<93>Ð<9e>СТ 28147-89)
[1] 1.2.643.2.2.3 (Ð<93>Ð<9e>СТ Р 34.11/34.10-2001)
[2] 0x801f
[3] 1.2.643.2.2.20 (Ð<93>Ð<9e>СТ Р 34.10-94)
[4] 1.2.643.2.2.19 (Ð<93>Ð<9e>СТ Р 34.10-2001)
Cipher strengths: 256..256
Supported protocols: 0x80
ClientHello: RecordLayer: TLS, Len: 91
Cipher Suites: (00 80) (00 32) (01 31) (00 00)
96 bytes of handshake data sent
0000 16 03 01 00 5b 01 00 00:57 03 01 4e df 06 26 d0 ....[...W..N..&.
....

1054 bytes of handshake data received
0000 16 03 01 04 19 02 00 00:6c 03 01 4e df 06 29 fb ........l..N..).
....

210 bytes of handshake data sent
0000 16 03 01 00 ae 10 00 00:aa 30 81 a7 30 81 a4 30 .........0..0..0
....

31 bytes of handshake data received
0000 14 03 01 00 01 01 16 03:01 00 14 8c 2a 6b 95 0f ............*k..
....

Handshake was successful
SECPKG_ATTR_NAMES: E=aaa@somesite.ru, C=RU, L=Ìîñêâà, O="ÎÀÎ ""AAA""", OU=Öåíòðà, CN=somesite.ru, 1.2.840.113549.1.9.2="#00000000000000000000"

Server certificate:
Subject: E=aaa@somesite.ru, C=RU, L=Ìîñêâà, O="ÎÀÎ ""AAA""", OU=Öåíòðà, CN=somesite.ru, 1.2.840.113549.1.9.2="#00000000000000000000"
Issuer : E=bbb@aaa.ru, T=Óïîëíîìî÷åííîå ëèöî, C=RU, L=Ìîñêâà, O=ÎÀÎ AAA, OU=ÓÖ, CN=ÎÀÎ AAA

Protocol: TLS1
Cipher: 0x661e
Cipher strength: 256
Hash: 0x801e
Hash strength: 256
Key exchange: 0xaa25
Key exchange strength: 512

Header: 5, Trailer: 4, MaxMessage: 16379

HTTP request: GET /aaa/bbb.aspx HTTP/1.0^M
User-Agent: Webclient^M
Accept:*/*^M
^M

Sending plaintext: 69 bytes
0000 47 45 54 20 2f 73 69 74:65 73 6f 2f 6d 61 69 6e GET /aaa/bbb.asp
....

78 bytes of application data sent
0000 17 03 01 00 49 d1 d9 3c:ef b5 07 28 49 97 0a 1e ....I..<...(I...
....

13 bytes of (encrypted) application data received
0000 16 03 01 00 08 31 21 93:d5 72 dc ef d2 .....1!..r...

Buffers[1] = (SECBUFFER_DATA, 0 bytes)
Buffers[2].BufferType = 6
Buffers[3] = (SECBUFFER_EMPTY)
Decrypted data: 0 bytes

Server requested renegotiate!
100 bytes of handshake data sent
0000 16 03 01 00 5f 1c f1 c1:dd 25 6c 37 9b 23 2f 28 ...._....%l7.#/(
....

1258 bytes of handshake data received
0000 16 03 01 04 e5 fa 2f b4:22 23 0c fc 1f 87 b2 1d ....../."#......
....

Server requested new credentials!

Trying to create new credential
Issuer 0: E=bbb@aaa.ru, T=Óïîëíîìî÷åííîå ëèöî, C=RU, L=Ìîñêâà, O=ÎÀÎ AAA, OU=ÓÖ, CN=ÎÀÎ AAA
Issuers: 1, Lenght: 194 bytes

Client certificate:
Subject: E=aaaaaaaaaaa@bbbbbbb.ru, C=RU, S=ZZZZZZZZZZZ, L=ZZZZZZZ, O="ZZZ ""SSSSSSSSSSSSSSSSSSSSS""", OU=EEEEEEEEEEEEEEEEEEEE, CN=VVVVVVVVVVVVVVVVVVVVVVVVV, 1.2.840.113549.1.9.2="#00000000000000000000"
Issuer : E=bbb@aaa.ru, T=Óïîëíîìî÷åííîå ëèöî, C=RU, L=Ìîñêâà, O=ÎÀÎ AAA, OU=ÓÖ, CN=ÎÀÎ AAA
Error 0x800b010e (CERT_E_REVOCATION_FAILURE) returned by CertVerifyCertificateChainPolicy!
Error 0x800b010e authenticating client credentials
An error occurred in running the program.
/dailybuilds/mybuild/CSP/samples/csptest/WebClient.c:2013:Error finding cert chain
Error number 0x80092004 (-2146885628).
Cannot find object or property.
**** Error 0x80092004 returned by HandShaker
HttpsGetFile: 0x80092004
An error occurred in running the program.
/dailybuilds/mybuild/CSP/samples/csptest/WebClient.c:487:Error fetching file from server.
Error number 0x80092004 (-2146885628).
Cannot find object or property.
Total:
[ErrorCode: 0x80092004]
Вверх
Offline Elijah  
#20 Оставлено : 7 декабря 2011 г. 15:24:31(UTC)
Elijah

Статус: Активный участник

Группы: Участники
Зарегистрирован: 11.09.2011(UTC)
Сообщений: 37
rozhkov написал:

Elijah написал:
Меня смущает то, что на eToken есть пин, но нигде я его не вводил.

Если есть GUI, установите motif из репозиториев и rdr-giu из дистрибутива КриптоПро CSP.


В правленном WebClient пин спрашивается. Я про stunnel.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET