Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline iriss22  
#1 Оставлено : 21 января 2015 г. 12:14:30(UTC)
iriss22

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2015(UTC)
Сообщений: 8

Добрый день.
Подскажите, пожалуйста, в чем может быть проблема:
пытаюсь запустить службу Stunnel Service, выдается ошибка:

Не удалось запустить службу Stunnel Service на Локальный
компьютер.

Ошибка 1607: Процесс был неожиданно завершен.

При этом не создается лог самой службы и из-за этого вообще не понятно, что происходит.
Выполняла все по инструкции.
Конфигурационный файл (лежит в system32):

output=C:\stun-srv\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[https]
accept=YuKo-PC.infocom.ocv.ru:1026
connect = YuKo-PC.infocom.ocv.ru:1027
cert=C:\stun-srv\MyCert5.cer
verify=0

Offline Максим Коллегин  
#2 Оставлено : 21 января 2015 г. 17:43:36(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,070
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
Прав возможно не хватает. Посмотрите procmonом.
Знания в базе знаний, поддержка в техподдержке
Offline iriss22  
#3 Оставлено : 29 января 2015 г. 13:28:47(UTC)
iriss22

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2015(UTC)
Сообщений: 8

С этим я разобралась, просто файл как-то криво сохранился.
Файл логов появился, теперь при запуске службы возникает следующая ошибка:
2015.01.29 13:04:36 LOG7[7888:6944]: open file C:\stun-srv\MyCert5.cer with certificate
2015.01.29 13:04:37 LOG3[7888:6944]: **** Error 0x80090304 returned by AcquireCredentialsHandle

2015.01.29 13:04:37 LOG3[7888:6944]: Error creating credentials

В логах винды:
КриптоПро TLS. Не установлен компонент "Криптопровайдер режима ядра", необходимый для работы КриптоПро TLS в службах Windows Vista/2008 и выше (веб-сервер, сервер терминалов)

КриптоПро TLS. Ошибка 0x8009200b при обращении к CSP: Не удается найти сертификат и закрытый ключ для расшифровки.

Подскажите, пожалуйста, в чем может быть дело?
Offline iriss22  
#4 Оставлено : 29 января 2015 г. 15:04:38(UTC)
iriss22

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2015(UTC)
Сообщений: 8

С первой ошибкой разобралась. Осталась только вторая:
КриптоПро TLS. Ошибка 0x8009200b при обращении к CSP: Не удается найти сертификат и закрытый ключ для расшифровки.
Offline iriss22  
#5 Оставлено : 29 января 2015 г. 17:09:07(UTC)
iriss22

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2015(UTC)
Сообщений: 8

Разобралась во всем. Сертификат не тот был.
Offline tochanka  
#6 Оставлено : 12 февраля 2015 г. 18:39:22(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Добрый день.
Пытаюсь настроить Stunnel. На сервере служба запустилась корректно, но на клиентском компьютере возникает ошибка, как у предыдущего пользователя:

2015.02.12 18:29:54 LOG5[6376:6732]: stunnel 4.18 on x86-pc-unknown
2015.02.12 18:29:54 LOG5[6376:6732]: Threading:WIN32 Sockets:SELECT,IPv6
2015.02.12 18:29:54 LOG5[6376:6732]: No limit detected for the number of clients
2015.02.12 18:29:54 LOG7[6376:6732]: FD 300 in non-blocking mode
2015.02.12 18:29:54 LOG7[6376:6732]: SO_REUSEADDR option set on accept socket
2015.02.12 18:29:54 LOG7[6376:6732]: https bound to ::1:1500
2015.02.12 18:29:54 LOG7[6376:6732]: open file C:\Stun\22.cer with certificate
2015.02.12 18:29:54 LOG3[6376:6732]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2015.02.12 18:29:54 LOG3[6376:6732]: Error creating credentials

config:
output=c:\Stun\stun.log
socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1
debug=7
[https]
accept=localhost:1500
connect=pd.zirvan:1502
cert=C:\Stun\22.cer
verify=0

Сертификат установлен в локальное хранилище компьюера.

Offline Максим Коллегин  
#7 Оставлено : 12 февраля 2015 г. 22:34:33(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,070
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
А в eventlog?
Знания в базе знаний, поддержка в техподдержке
Offline tochanka  
#8 Оставлено : 13 февраля 2015 г. 11:44:14(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Ошибка при запуске ушла, служба запустилась, но при проверки соединения (когда вбиваю адрес в строку браузера), страница не открывается, пишет в логе:

2015.02.13 16:12:24 LOG7[5392:3820]: https accepted FD=156 from ::1:58712
2015.02.13 16:12:24 LOG7[5392:3820]: Creating a new thread
2015.02.13 16:12:24 LOG7[5392:3820]: New thread created
2015.02.13 16:12:24 LOG7[5392:7880]: client start
2015.02.13 16:12:24 LOG7[5392:7880]: https started
2015.02.13 16:12:24 LOG7[5392:7880]: FD 156 in non-blocking mode
2015.02.13 16:12:24 LOG7[5392:7880]: TCP_NODELAY option set on local socket
2015.02.13 16:12:24 LOG5[5392:7880]: https connected from ::1:58712
2015.02.13 16:12:24 LOG7[5392:7880]: FD 372 in non-blocking mode
2015.02.13 16:12:24 LOG7[5392:7880]: https connecting
2015.02.13 16:12:24 LOG7[5392:7880]: connect_wait: waiting 10 seconds
2015.02.13 16:12:24 LOG7[5392:7880]: connect_wait: connected
2015.02.13 16:12:24 LOG7[5392:7880]: Remote FD=372 initialized
2015.02.13 16:12:24 LOG7[5392:7880]: TCP_NODELAY option set on remote socket
2015.02.13 16:12:24 LOG7[5392:7880]: start SSPI connect
2015.02.13 16:12:24 LOG5[5392:7880]: try to read the client certificate
2015.02.13 16:12:24 LOG7[5392:7880]: open file C:\Stun\22.cer with certificate
2015.02.13 16:12:24 LOG5[5392:7880]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2015.02.13 16:12:24 LOG3[5392:7880]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2015.02.13 16:12:24 LOG3[5392:7880]: Credentials complete
2015.02.13 16:12:24 LOG3[5392:7880]: Error creating credentials
2015.02.13 16:12:24 LOG5[5392:7880]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2015.02.13 16:12:24 LOG7[5392:7880]: free Buffers
2015.02.13 16:12:24 LOG7[5392:7880]: delete c->hContext
2015.02.13 16:12:24 LOG7[5392:7880]: delete c->hClientCreds
2015.02.13 16:12:24 LOG5[5392:7880]: incomp_mess = 0, extra_data = 0
2015.02.13 16:12:24 LOG7[5392:7880]: https finished (0 left)

Очень странно, потому что сертификат добавлен и в хранилище пользователя, и в хранилище на локальном компьютере
UserPostedImage

Отредактировано пользователем 13 февраля 2015 г. 16:21:43(UTC)  | Причина: Не указана

Offline iriss22  
#9 Оставлено : 13 февраля 2015 г. 16:40:29(UTC)
iriss22

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2015(UTC)
Сообщений: 8

У меня тоже было так. Потом удалила сертификат из обоих хранилищ. Добавила только 1 в хранилище локального компьютера и зароботало.
Offline tochanka  
#10 Оставлено : 13 февраля 2015 г. 18:04:09(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Я так сделал, когда не запускалась служба, помогло. А сейчас вот не хочет
Offline iriss22  
#11 Оставлено : 13 февраля 2015 г. 18:17:44(UTC)
iriss22

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.01.2015(UTC)
Сообщений: 8

Смотри логи винды, мне очень помогло.
Offline Максим Коллегин  
#12 Оставлено : 13 февраля 2015 г. 18:23:10(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,070
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
а с ключом сериификат связан? где ключ? пин код, надеюсь, не установлен? и все-таки, что в eventlog?
Знания в базе знаний, поддержка в техподдержке
Offline tochanka  
#13 Оставлено : 18 февраля 2015 г. 12:58:01(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Я получал сертификат в Тестовом УЦ КриптоПро. Я так понимаю, этот сертификат связан с закрытым ключом, и установливается с ним по умолчанию в хранилище пользователя. Вручную в оснастке Сертификаты я перетащил его в хранилище на локальном компьютере, как и вы советовали выше. Где хранится ключ физически, я не знаю. Пин кода нет.
В eventlog когда сертификат лежал в хранилище пользователя, никаких ошибок не выдавал.
Когда на лок. компьютере, то пишет ошибку:
КриптоПро TLS. Ошибка %2 при обращении к CSP: %1 и
КриптоПро TLS. Ошибка 0x8009200b при обращении к CSP: Не удается найти сертификат и закрытый ключ для расшифровки.
Offline Мясников Роман  
#14 Оставлено : 18 февраля 2015 г. 17:46:13(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Сертификат не надо перетаскивать. Сертификат необходимо установить с привязкой к закрытому ключу в хранилище личное "локального компьютера" (через КриптоПро CSP - сервис - установить личный сертификат).
Offline tochanka  
#15 Оставлено : 19 февраля 2015 г. 11:42:21(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Роман, тестовый сертификат, полученный на cryptopro.ru/certsrv, по уомлчанию устанавливается (имея закрытый ключ) в личное хранилище "пользователя" через ActiveX в IE. Затем через КриптоПро-Сертификаты я экспортирую установленный сертификат в файл формата .cer (без закрытого ключа, иначе он экспортируется в формате .pfx, который не подходит), сохраняю его у себя на компьютере и прописываю путь к нему в файле config (согласно инструкции по настройке Stunnel).
После всех этих манипуляций единственный способ перенести сертификат из польз. хранилища в лок. комп., это в КриптоПро - Сертификаты перенести его из одного раздела в другой.
Через CSP установить в лок.комп. не получается, могу выбрать только поле "контейнер пользов", а в след окне не могу выбрать хранилище комп:
UserPostedImage
UserPostedImage


В этом может быть причина неработы Stunnel? очень странно, потому что в логе службы
CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
он не видит сертификата, как я понимаю, в хранилище пользователя, но там он у меня есть.

Отредактировано пользователем 19 февраля 2015 г. 11:48:08(UTC)  | Причина: Не указана

Offline Мясников Роман  
#16 Оставлено : 19 февраля 2015 г. 14:02:04(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Экспортируйте сертификат в формате .pfx (с закрытым ключом) и импортируйте его в хранилище личное "локального компьютера". Предложит выбрать считыватель, выбираете "Реестр", пароль оставляете пустым.
При этому службу необходимо запускать под локальной системой.
Offline Максим Коллегин  
#17 Оставлено : 19 февраля 2015 г. 14:06:45(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,070
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 17 раз
Поблагодарили: 606 раз в 541 постах
CertFindCertificateInStore not find client certificate in store CURRENT_USER - а под какой учетной записью запускается служба? Если под system, то сильно сомневаюсь, что у этого пользователя установлен сертификат в хранилище.
Знания в базе знаний, поддержка в техподдержке
Offline tochanka  
#18 Оставлено : 19 февраля 2015 г. 17:56:46(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

Попробовал подключиться с айпада, в качестве клиента, где не установлен сертификат. Логи с клиента:

2015.02.19 19:12:45 LOG5[12691:78299136]: stunnel 4.18 on arm-apple-darwin
2015.02.19 19:12:45 LOG5[12691:78299136]: Threading:PTHREAD Sockets:SELECT,IPv6
2015.02.19 19:12:45 LOG6[12691:78299136]: file ulimit = 2560 (can be changed with 'ulimit -n')
2015.02.19 19:12:45 LOG6[12691:78299136]: FD_SETSIZE = 1024 (some systems allow to increase this value)
2015.02.19 19:12:45 LOG5[12691:78299136]: 0 clients allowed
2015.02.19 19:12:45 LOG7[12691:78299136]: FD 18 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:78299136]: FD 20 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:78299136]: FD 21 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:78299136]: SO_REUSEADDR option set on accept socket
2015.02.19 19:12:45 LOG7[12691:78299136]: test bound to 127.0.0.1:8080
2015.02.19 19:12:45 LOG7[12691:78299136]: Created pid file /var/mobile/Containers/Data/Application/5F400F22-44EB-4C82-AB91-EF55C400C0CB/Documents/stunnel.pid
2015.02.19 19:12:45 LOG7[12691:78299136]: test accepted FD=25 from 127.0.0.1:53241
2015.02.19 19:12:45 LOG7[12691:108371968]: client start
2015.02.19 19:12:45 LOG7[12691:108371968]: test started
2015.02.19 19:12:45 LOG7[12691:108371968]: FD 25 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:108371968]: TCP_NODELAY option set on local socket
2015.02.19 19:12:45 LOG5[12691:108371968]: test connected from 127.0.0.1:53241
2015.02.19 19:12:45 LOG7[12691:108371968]: FD 33 in non-blocking mode
2015.02.19 19:12:45 LOG7[12691:108371968]: test connecting
2015.02.19 19:12:45 LOG7[12691:108371968]: connect_wait: waiting 10 seconds
2015.02.19 19:12:45 LOG7[12691:108371968]: connect_wait: connected
2015.02.19 19:12:45 LOG7[12691:108371968]: Remote FD=33 initialized
2015.02.19 19:12:45 LOG7[12691:108371968]: TCP_NODELAY option set on remote socket
2015.02.19 19:12:45 LOG7[12691:108371968]: start SSPI connect
2015.02.19 19:12:45 LOG3[12691:108371968]: Credentials complete
2015.02.19 19:12:45 LOG7[12691:108371968]: 90 bytes of handshake data sent
2015.02.19 19:12:45 LOG5[12691:108371968]: 1012 bytes of handshake(in handshake loop) data received.
2015.02.19 19:12:45 LOG5[12691:108371968]: 210 bytes of handshake data sent
2015.02.19 19:12:45 LOG5[12691:108371968]: 31 bytes of handshake(in handshake loop) data received.
2015.02.19 19:12:45 LOG5[12691:108371968]: Handshake was successful
2015.02.19 19:12:45 LOG5[12691:108371968]: PerformClientHandshake finish
2015.02.19 19:12:45 LOG5[12691:108371968]: Server subject: C=WE, S=we, L=we, O=w, OU=we, CN=wf, E=wer
2015.02.19 19:12:45 LOG5[12691:108371968]: Server issuer: E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
2015.02.19 19:12:47 LOG3[12691:108371968]: Error 0x20 ((unknown)) returned by CertVerifyCertificateChainPolicy!
2015.02.19 19:12:47 LOG3[12691:108371968]: Error 0x20 when validate certificate

2015.02.19 19:12:47 LOG3[12691:108371968]: Error 0x80092004 returned by VeryfySertChain
2015.02.19 19:12:47 LOG3[12691:108371968]: **** Error 0x80092004 authenticating server credentials!
2015.02.19 19:12:47 LOG5[12691:108371968]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2015.02.19 19:12:47 LOG7[12691:108371968]: free Buffers
2015.02.19 19:12:47 LOG7[12691:108371968]: delete c->hContext
2015.02.19 19:12:47 LOG7[12691:108371968]: delete c->hClientCreds
2015.02.19 19:12:47 LOG5[12691:108371968]: incomp_mess = 0, extra_data = 0
2015.02.19 19:12:47 LOG7[12691:108371968]: test finished (0 left)

Возможно, дело в сертификате на сервере. Но он установлен, как вы и рекомендовали, в хранилище лок. компьютера.

Отредактировано пользователем 19 февраля 2015 г. 19:22:42(UTC)  | Причина: Не указана

Offline Мясников Роман  
#19 Оставлено : 20 февраля 2015 г. 9:47:10(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
1. Приложите конфигурационный файл клиента и сервера для просмотра.
2. Имя сертификата сервера совпадает с именем компьютера?
3. Есть закрытый ключ для сертификата сервера?
4. Корневой сертификат установлен?

Offline tochanka  
#20 Оставлено : 20 февраля 2015 г. 12:07:39(UTC)
tochanka

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.02.2015(UTC)
Сообщений: 7

1.Прикладываю конфиг. файлы сервера и клиента (пк и айпад).
2. Имя сертификата сервера с именем компьютера или именем сертификата компьютера? ни так, ни так не совпадает.
3. Тестовые сертификаты все содержат закрытый ключ.
4. Установлен
Вложение(я):
stunnel_client_ipad.conf.txt (1kb) загружен 5 раз(а).
stunnel_client_pc.conf.txt (1kb) загружен 5 раз(а).
stunnel_serv.conf.txt (1kb) загружен 7 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.