Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы<1234>
Опции
К последнему сообщению К первому непрочитанному
Offline iriss22  
#11 Оставлено : 13 февраля 2015 г. 18:17:44(UTC)
iriss22

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2015(UTC)
Сообщений: 8

Смотри логи винды, мне очень помогло.
Offline Максим Коллегин  
#12 Оставлено : 13 февраля 2015 г. 18:23:10(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,372
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 31 раз
Поблагодарили: 702 раз в 611 постах
а с ключом сериификат связан? где ключ? пин код, надеюсь, не установлен? и все-таки, что в eventlog?
Знания в базе знаний, поддержка в техподдержке
Offline tochanka  
#13 Оставлено : 18 февраля 2015 г. 12:58:01(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Я получал сертификат в Тестовом УЦ КриптоПро. Я так понимаю, этот сертификат связан с закрытым ключом, и установливается с ним по умолчанию в хранилище пользователя. Вручную в оснастке Сертификаты я перетащил его в хранилище на локальном компьютере, как и вы советовали выше. Где хранится ключ физически, я не знаю. Пин кода нет.
В eventlog когда сертификат лежал в хранилище пользователя, никаких ошибок не выдавал.
Когда на лок. компьютере, то пишет ошибку:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1 и
КриптоПро TLS. Ошибка 0x8009200b при обращении к CSP: Не удается найти сертификат и закрытый ключ для расшифровки.
Offline Мясников Роман  
#14 Оставлено : 18 февраля 2015 г. 17:46:13(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Сертификат не надо перетаскивать. Сертификат необходимо установить с привязкой к закрытому ключу в хранилище личное "локального компьютера" (через КриптоПро CSP - сервис - установить личный сертификат).
Offline tochanka  
#15 Оставлено : 19 февраля 2015 г. 11:42:21(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Роман, тестовый сертификат, полученный на cryptopro.ru/certsrv, по уомлчанию устанавливается (имея закрытый ключ) в личное хранилище "пользователя" через ActiveX в IE. Затем через КриптоПро-Сертификаты я экспортирую установленный сертификат в файл формата .cer (без закрытого ключа, иначе он экспортируется в формате .pfx, который не подходит), сохраняю его у себя на компьютере и прописываю путь к нему в файле config (согласно инструкции по настройке Stunnel).
После всех этих манипуляций единственный способ перенести сертификат из польз. хранилища в лок. комп., это в КриптоПро - Сертификаты перенести его из одного раздела в другой.
Через CSP установить в лок.комп. не получается, могу выбрать только поле "контейнер пользов", а в след окне не могу выбрать хранилище комп:
UserPostedImage
UserPostedImage


В этом может быть причина неработы Stunnel? очень странно, потому что в логе службы
CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
он не видит сертификата, как я понимаю, в хранилище пользователя, но там он у меня есть.

Отредактировано пользователем 19 февраля 2015 г. 11:48:08(UTC)  | Причина: Не указана

Offline Мясников Роман  
#16 Оставлено : 19 февраля 2015 г. 14:02:04(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Экспортируйте сертификат в формате .pfx (с закрытым ключом) и импортируйте его в хранилище личное "локального компьютера". Предложит выбрать считыватель, выбираете "Реестр", пароль оставляете пустым.
При этому службу необходимо запускать под локальной системой.
Offline Максим Коллегин  
#17 Оставлено : 19 февраля 2015 г. 14:06:45(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,372
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 31 раз
Поблагодарили: 702 раз в 611 постах
CertFindCertificateInStore not find client certificate in store CURRENT_USER - а под какой учетной записью запускается служба? Если под system, то сильно сомневаюсь, что у этого пользователя установлен сертификат в хранилище.
Знания в базе знаний, поддержка в техподдержке
Offline tochanka  
#18 Оставлено : 19 февраля 2015 г. 17:56:46(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Попробовал подключиться с айпада, в качестве клиента, где не установлен сертификат. Логи с клиента:

2015.02.19 19:12:45 LOG5[12691:78299136]: stunnel 4.18 on arm-apple-darwin
2015.02.19 19:12:45 LOG5[12691:78299136]: Threading:PTHREAD Sockets:SELECT,IPv6
2015.02.19 19:12:45 LOG6[12691:78299136]: file ulimit = 2560 (can be changed with 'ulimit -n')
2015.02.19 19:12:45 LOG6[12691:78299136]: FD_SETSIZE = 1024 (some systems allow to increase this value)
2015.02.19 19:12:45 LOG5[12691:78299136]: 0 clients allowed
2015.02.19 19:12:45 LOG7[12691:78299136]: FD 18 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:78299136]: FD 20 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:78299136]: FD 21 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:78299136]: SO_REUSEADDR option set on accept socket
2015.02.19 19:12:45 LOG7[12691:78299136]: test bound to 127.0.0.1:8080
2015.02.19 19:12:45 LOG7[12691:78299136]: Created pid file /var/mobile/Containers/Data/Application/5F400F22-44EB-4C82-AB91-EF55C400C0CB/Documents/stunnel.pid
2015.02.19 19:12:45 LOG7[12691:78299136]: test accepted FD=25 from 127.0.0.1:53241
2015.02.19 19:12:45 LOG7[12691:108371968]: client start
2015.02.19 19:12:45 LOG7[12691:108371968]: test started
2015.02.19 19:12:45 LOG7[12691:108371968]: FD 25 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:108371968]: TCP_NODELAY option set on local socket
2015.02.19 19:12:45 LOG5[12691:108371968]: test connected from 127.0.0.1:53241
2015.02.19 19:12:45 LOG7[12691:108371968]: FD 33 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:108371968]: test connecting
2015.02.19 19:12:45 LOG7[12691:108371968]: connect_wait: waiting 10 seconds
2015.02.19 19:12:45 LOG7[12691:108371968]: connect_wait: connected
2015.02.19 19:12:45 LOG7[12691:108371968]: Remote FD=33 initialized
2015.02.19 19:12:45 LOG7[12691:108371968]: TCP_NODELAY option set on remote socket
2015.02.19 19:12:45 LOG7[12691:108371968]: start SSPI connect
2015.02.19 19:12:45 LOG3[12691:108371968]: Credentials complete
2015.02.19 19:12:45 LOG7[12691:108371968]: 90 bytes of handshake data sent
2015.02.19 19:12:45 LOG5[12691:108371968]: 1012 bytes of handshake(in handshake loop) data received.
2015.02.19 19:12:45 LOG5[12691:108371968]: 210 bytes of handshake data sent
2015.02.19 19:12:45 LOG5[12691:108371968]: 31 bytes of handshake(in handshake loop) data received.
2015.02.19 19:12:45 LOG5[12691:108371968]: Handshake was successful
2015.02.19 19:12:45 LOG5[12691:108371968]: PerformClientHandshake finish
2015.02.19 19:12:45 LOG5[12691:108371968]: Server subject: C=WE, S=we, L=we, O=w, OU=we, CN=wf, E=wer
2015.02.19 19:12:45 LOG5[12691:108371968]: Server issuer: E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
2015.02.19 19:12:47 LOG3[12691:108371968]: Error 0x20 ((unknown)) returned by CertVerifyCertificateChainPolicy!
2015.02.19 19:12:47 LOG3[12691:108371968]: Error 0x20 when validate certificate

2015.02.19 19:12:47 LOG3[12691:108371968]: Error 0x80092004 returned by VeryfySertChain
2015.02.19 19:12:47 LOG3[12691:108371968]: **** Error 0x80092004 authenticating server credentials!
2015.02.19 19:12:47 LOG5[12691:108371968]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2015.02.19 19:12:47 LOG7[12691:108371968]: free Buffers
2015.02.19 19:12:47 LOG7[12691:108371968]: delete c->hContext
2015.02.19 19:12:47 LOG7[12691:108371968]: delete c->hClientCreds
2015.02.19 19:12:47 LOG5[12691:108371968]: incomp_mess = 0, extra_data = 0
2015.02.19 19:12:47 LOG7[12691:108371968]: test finished (0 left)

Возможно, дело в сертификате на сервере. Но он установлен, как вы и рекомендовали, в хранилище лок. компьютера.

Отредактировано пользователем 19 февраля 2015 г. 19:22:42(UTC)  | Причина: Не указана

Offline Мясников Роман  
#19 Оставлено : 20 февраля 2015 г. 9:47:10(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
1. Приложите конфигурационный файл клиента и сервера для просмотра.
2. Имя сертификата сервера совпадает с именем компьютера?
3. Есть закрытый ключ для сертификата сервера?
4. Корневой сертификат установлен?

Offline tochanka  
#20 Оставлено : 20 февраля 2015 г. 12:07:39(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

1.Прикладываю конфиг. файлы сервера и клиента (пк и айпад).
2. Имя сертификата сервера с именем компьютера или именем сертификата компьютера? ни так, ни так не совпадает.
3. Тестовые сертификаты все содержат закрытый ключ.
4. Установлен
Вложение(я):
stunnel_client_ipad.conf.txt (1kb) загружен 7 раз(а).
stunnel_client_pc.conf.txt (1kb) загружен 8 раз(а).
stunnel_serv.conf.txt (1kb) загружен 10 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы<1234>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.