Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline IgorDID  
#1 Оставлено : 9 октября 2014 г. 11:24:16(UTC)
IgorDID

Статус: Участник

Группы: Участники
Зарегистрирован: 05.04.2012(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Россия

Поблагодарили: 1 раз в 1 постах
Доброго дня!

Прошу помочь разобраться, почему stunnel не подключается к сайту.
Использую в режиме client.
Windows XP SP3, Крипто-ПРО 3.6 7491. Лицензия введена.
Личный сертификат с цепочкой установлены корректно. Контейнер без пароля.
Издатели сертификатов сайтов также установлены корректно.

При просмотре страниц через IE 8 запрашивается клиентский сертификат и успешно загружает страницу.

При попытке получить страницу через stunnel ничего не выходит.
пробую командой telnet 127.0.0.1 11666 или через браузер.

stunnel.conf:
output=C:\stunnel\stun.log
socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1
debug=7
[https]
client=yes
accept=0.0.0.0:11666
connect=iruc.ru:443
cert=C:\stunnel\cert.cer
verify=0


LOG
2014.10.09 13:16:44 LOG5[1788:1548]: stunnel 4.18 on x86-pc-unknown
2014.10.09 13:16:44 LOG5[1788:1548]: Threading:WIN32 Sockets:SELECT,IPv6
2014.10.09 13:16:44 LOG5[1788:1548]: No limit detected for the number of clients
2014.10.09 13:16:44 LOG7[1788:1548]: FD 200 in non-blocking mode
2014.10.09 13:16:44 LOG7[1788:1548]: SO_REUSEADDR option set on accept socket
2014.10.09 13:16:44 LOG7[1788:1548]: https bound to 0.0.0.0:11666
2014.10.09 13:16:50 LOG7[1788:1548]: https accepted FD=224 from 127.0.0.1:1181
2014.10.09 13:16:50 LOG7[1788:1548]: Creating a new thread
2014.10.09 13:16:50 LOG7[1788:1548]: New thread created
2014.10.09 13:16:50 LOG7[1788:3112]: client start
2014.10.09 13:16:50 LOG7[1788:3112]: https started
2014.10.09 13:16:50 LOG7[1788:3112]: FD 224 in non-blocking mode
2014.10.09 13:16:50 LOG7[1788:3112]: TCP_NODELAY option set on local socket
2014.10.09 13:16:50 LOG5[1788:3112]: https connected from 127.0.0.1:1181
2014.10.09 13:16:50 LOG7[1788:3112]: FD 268 in non-blocking mode
2014.10.09 13:16:50 LOG7[1788:3112]: https connecting
2014.10.09 13:16:50 LOG7[1788:3112]: connect_wait: waiting 10 seconds
2014.10.09 13:16:50 LOG7[1788:3112]: connect_wait: connected
2014.10.09 13:16:50 LOG7[1788:3112]: Remote FD=268 initialized
2014.10.09 13:16:50 LOG7[1788:3112]: TCP_NODELAY option set on remote socket
2014.10.09 13:16:50 LOG7[1788:3112]: start SSPI connect
2014.10.09 13:16:50 LOG5[1788:3112]: try to read the client certificate
2014.10.09 13:16:50 LOG7[1788:3112]: open file C:\stunnel\cert.cer with certificate
2014.10.09 13:16:50 LOG5[1788:3112]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2014.10.09 13:16:50 LOG3[1788:3112]: **** Error 0x8009030d returned by AcquireCredentialsHandle
2014.10.09 13:16:50 LOG3[1788:3112]: Credentials complete
2014.10.09 13:16:50 LOG3[1788:3112]: Error creating credentials
2014.10.09 13:16:50 LOG5[1788:3112]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2014.10.09 13:16:50 LOG7[1788:3112]: free Buffers
2014.10.09 13:16:50 LOG7[1788:3112]: delete c->hContext
2014.10.09 13:16:50 LOG7[1788:3112]: delete c->hClientCreds
2014.10.09 13:16:50 LOG5[1788:3112]: incomp_mess = 0, extra_data = 0
2014.10.09 13:16:50 LOG7[1788:3112]: https finished (0 left)


Насчет ошибки из лога
CertFindCertificateInStore not find client certificate in store CURRENT_USER
нашел на форуме, что поиск сертификата идет как в LOCAL_MACHINE так и в текущем пользователе, поэтому наличие этой записи не является проблемой, а вот если их 2 то сертификат не установлен.

Пробовал подключаться на www.cryptopro.ru:4444 - такая же ситуация.

Подскажите, что я сделал не так, куда копать
Offline Мясников Роман  
#2 Оставлено : 9 октября 2014 г. 12:53:46(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Добрый день.
1. Сертификат привязан к закрытому ключу через КриптоПро CSP?
2. Служба Stunnel запущенна от Локальной системы или от вашей учётной записи?
3. Сертификат установлен в хранилище "личное" локального компьютера или текущего пользователя?
4. Контейнер где находится? На каком носителе?
5. Убедитесь, что ваш сертификат имеет улучшенный ключ "Проверка подлинности клиента".
Offline IgorDID  
#3 Оставлено : 9 октября 2014 г. 15:43:54(UTC)
IgorDID

Статус: Участник

Группы: Участники
Зарегистрирован: 05.04.2012(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Россия

Поблагодарили: 1 раз в 1 постах
Роман,

1) сертификат привязан. ставился исключительно через CSP
2) затрудняюсь ответить. выполнял команду stunnel -install в текущем пользователе (имеет права админа). В настройка службы учетную запись, от которой запускаться сервису, принудительно не задавал. Думаю это вариант "от моей учетной записи". Как запустить от "Локальной системы" ? Нужно ли ?
3) Сертификат ставился через CSP, который запускался через панель управления того же пользователя. Думаю это также хранилище "текужего пользователя". Как поставить из CSP в "личное" локального компьютера не знаю. Может CSP запустить от другой учетки ? Какой ?
4) Контейнер скопирован в реестр
5) Из свойств сертификата
Защищенная электронная почта (1.3.6.1.5.5.7.3.4)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)

что посоветуете ?

Отредактировано пользователем 9 октября 2014 г. 15:44:46(UTC)  | Причина: Не указана

Offline Мясников Роман  
#4 Оставлено : 9 октября 2014 г. 16:32:32(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
2) затрудняюсь ответить. выполнял команду stunnel -install в текущем пользователе (имеет права админа). В настройка службы учетную запись, от которой запускаться сервису, принудительно не задавал. Думаю это вариант "от моей учетной записи". Как запустить от "Локальной системы" ? Нужно ли ?
- Зайдите в Панель управления - Администрирование - службы. Найдите службу "Stunnel Service", в колонке "Вход от имени" что стоит? Если стоит от Локальной системы, то вам необходимо установить сертификат в хранилище личное "Локального компьютера" через КриптоПро CSP (КриптоПро CSP - сервис -установить личный сертификат - выбираете ваш сертификат, когда будете выбирать контейнер, Введенное имя задает ключевой контейнер укажите "Компьютера") или указать учетную запись вашего ПК.
Offline IgorDID  
#5 Оставлено : 10 октября 2014 г. 5:41:23(UTC)
IgorDID

Статус: Участник

Группы: Участники
Зарегистрирован: 05.04.2012(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Россия

Поблагодарили: 1 раз в 1 постах
Большое вам спасибо!

Все заработало. Попробовал и от имени пользователя сделать и от локальной системы.
Заметил, что при настройке от имени локального компьютера наблюдаются ЗНАЧИТЕЛЬНЫЕ задержки в обработке запросов - до 10сек. Запросы из браузера пользователя.

А при настройке от имени пользователя все запросы обрабатывает мгновенно.

Подскажите, при настройке в Windows 7, 8 есть какие то отличия в процедуре и правах?
Offline IgorDID  
#6 Оставлено : 10 октября 2014 г. 7:55:49(UTC)
IgorDID

Статус: Участник

Группы: Участники
Зарегистрирован: 05.04.2012(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Россия

Поблагодарили: 1 раз в 1 постах
И последний вопрос: есть ли возможность запустить несколько сервисов stunnel на одной ОС Windows ?
Offline Мясников Роман  
#7 Оставлено : 10 октября 2014 г. 10:08:50(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Подскажите, при настройке в Windows 7, 8 есть какие то отличия в процедуре и правах?
- Отличий не должно быть.
И последний вопрос: есть ли возможность запустить несколько сервисов stunnel на одной ОС Windows ?
- Да, можно запустить. Для этого потребуется прописать несколько сервисов в файле конфигурации.
Как это сделать вы можете подробнее почитать на официальном сайте - https://www.stunnel.org/docs.html
Offline IgorDID  
#8 Оставлено : 10 октября 2014 г. 11:53:30(UTC)
IgorDID

Статус: Участник

Группы: Участники
Зарегистрирован: 05.04.2012(UTC)
Сообщений: 17
Мужчина
Российская Федерация
Откуда: Россия

Поблагодарили: 1 раз в 1 постах
Благодарю
Offline Ruslan22  
#9 Оставлено : 31 августа 2015 г. 14:12:22(UTC)
Ruslan22

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.07.2015(UTC)
Сообщений: 6
Российская Федерация
Откуда: Уфа

Возникла аналогичная ошибка в логе Stunnel :
2015.08.31 15:44:37 LOG5[996:1880]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE

1) сертификат привязан. ставился исключительно через CSP
2) работает по умолчанию от "Локальной системы"?
3) Сертификат ставился в личные как пользователя, так и компьютера?
4) Контейнер скопирован в реестр
5) Из свойств сертификата (Улучшынный ключ)
Цитата:
Пользователь Центра Регистрации, HTTP, TLS клиент (1.2.643.2.2.34.6)
Unknown Key Usage (1.2.643.3.6.0.1)
Server Authentication (1.3.6.1.5.5.7.3.1)
Client Authentication (1.3.6.1.5.5.7.3.2)
Secure Email (1.3.6.1.5.5.7.3.4)


При просмотре хранилища сертификатов Win присутствует путь сертификата как для лок.компьютера, так и для пользователя следующий:
Сертификаты\Personal\Registry\Certificates

Возможно подветка Registry мешает

при проверке сертификата через CSP Сервис\Протестировать получаю:

Цитата:
Проверка завершена успешно ошибок не обнаружено
Контейнер закрытого ключа
имя RaUser-bf055d9d-5b57-4182-85b0-45cdca9bafb9
уникальное имя REGISTRY\\RaUser-bf055d9d-5b57-4182-85b0-45cdca9bafb9
FQCN \\.\REGISTRY\RaUser-bf055d9d-5b57-4182-85b0-45cdca9bafb9
проверка целостности контейнера успешно
Ключ обмена доступен
экспорт открытого ключа успешно
импорт открытого ключа успешно
подпись успешно
проверка успешно
создание ключа обмена успешно
экспорт ключа разрешен
алгоритм ГОСТ Р 34.10-2001 DH
ГОСТ Р 34.10-2001, параметры обмена по умолчанию
ГОСТ Р 34.11-94, параметры по умолчанию
сертификат в контейнере соответствует закрытому ключу
сертификат в хранилище My
REGISTRY\\RaUser-bf055d9d-5b57-4182-85b0-45cdca9bafb9; Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider#75; dwFlags: 0x00000020; dwKeySpec: 1
действителен с 12 августа 2015 г. 10:18:00
действителен по 12 сентября 2015 г. 10:28:00
ключ действителен с 12 августа 2015 г. 10:18:00
ключ действителен по 12 сентября 2015 г. 10:18:00
серийный номер 62C2 67CE 0002 0001 0E07
Ключ подписи отсутствует
загрузка ключей успешно

Отредактировано пользователем 31 августа 2015 г. 14:13:31(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#10 Оставлено : 31 августа 2015 г. 14:28:10(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,391
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
После Looking at LOCAL_MACHINE другая ошибка есть?
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.