Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2017(UTC) Сообщений: 24  Сказал(а) «Спасибо»: 7 раз
|
Здравствуйте, прошу оказать помощь с TLS! Сервер работает на CentOS 6.6 x64. Установлен пакет КриптоПро CSP 4.0 КС2. Установлен серверный сертификат с закрытым ключен, корневой сертификат и СОС. В сервере приложений настроен коннектор на порту 8443. Запускаем сервер приложений и проверяем tls-туннель с помощью csptestf. Вот вывод команды /opt/cprocsp/bin/amd64/csptestf -tlsc -server 127.0.0.1 -port 8443 -v -v -v: [root@localhost logs]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server 127.0.0.1 -port 8443 -v -v -v
8 algorithms supported:
[0] 1.2.643.2.2.21 (ГОСТ 28147-89)
[1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[2] 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 bit)
[3] 0x801f
[4] 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[5] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[6] 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[7] 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0x80
dwProtocolMask: 0x800a0aaa
Protocol version: 3.3
ClientHello: RecordLayer: TLS, Len: 92
Cipher Suites: (ff 85) (00 81) (00 32) (00 31)
97 bytes of handshake data sent
0000 16 03 01 00 5c 01 00 00:58 03 03 58 52 6a a9 5e ....\...X..XRj.^
0010 87 53 b4 16 dd 76 2a 27:22 f8 66 95 03 ad b4 49 .S...v*'".f....I
0020 d2 ec 30 20 85 1f 06 91:03 50 1e 00 00 08 ff 85 ..0 .....P......
0030 00 81 00 32 00 31 01 00:00 27 ff 01 00 01 00 00 ...2.1...'......
0040 23 00 00 00 00 00 0e 00:0c 00 00 09 31 32 37 2e #...........127.
0050 30 2e 30 2e 31 00 0d 00:08 00 06 ee ee ef ef ed 0.0.1...........
0060 ed .
**** Error 104 reading data from server
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:578:Error performing handshake.
Error number 0x80090304 (2148074244).
The Local Security Authority cannot be contacted
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:2818:Socket shutdown()
Error number 0x80090304 (2148074244).
The Local Security Authority cannot be contacted
Total: SYS: 0,030 sec USR: 0,090 sec UTC: 0,160 sec
[ErrorCode: 0x80090304] При запуске сервер приложений формирует лог tls.log. А после попытки загрузить страничку https://localhost:8443/ в этот же лог вываливается дамп (во вложении  tls.log (5kb) загружен 13 раз(а).). Страница в браузере при этом не открывается. Подскажите, в чем может быть ошибка, где искать ее причину?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
|
А что за сервер, можно поподробнее? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2017(UTC) Сообщений: 24 Сказал(а) «Спасибо»: 7 раз
|
Виртуалка на VMWare. Развернута для тестирования совместимости ПО с CSP 4.0. CentOS 6.6 с ядром 2.6.32-573.7.2.el6.x86_64. Какие сведения нужны ? Отредактировано пользователем 13 февраля 2017 г. 9:41:26(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
|
Интересует именно TLS-сервер. Чей это лог? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2017(UTC) Сообщений: 24 Сказал(а) «Спасибо»: 7 раз
|
TLS-сервер работает под Apache Tomcat 7. Лог формирует наша имплементация TLS на JAVA. Выяснили кстати, что дамп в tls.log это лишь результат логирования в режиме DEBUG, это не ошибка. Проверили работу TLS-сервера под Apache Tomcat 7 на двух других серверах с CSP 4.0 и CSP 3.6. На них TLS заработал, ура! На проблемном сервере по прежнему нет... На нём же попробовали настроить TLS с помощью stunnel с использованием того же сертификата. tls не поднялся... Вот конфиг: pid = /opt/cprocsp/sbin/amd64/stunnel_serv.pid
output = /opt/cprocsp/sbin/amd64/stunnel_serv.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[https]
accept = 80
connect = 443
cert = /home/tech2017.cer
verify = 0 Вот и формируемый лог: 2017.02.16 11:36:09 LOG5[19908:140508684384096]: stunnel 4.18 on x86_64-unknown-linux-gnu
2017.02.16 11:36:09 LOG5[19908:140508684384096]: Threading:PTHREAD Sockets:POLL,IPv6 Auth:LIBWRAP
2017.02.16 11:36:09 LOG6[19908:140508684384096]: file ulimit = 10240 (can be changed with 'ulimit -n')
2017.02.16 11:36:09 LOG6[19908:140508684384096]: poll() used - no FD_SETSIZE limit for file descriptors
2017.02.16 11:36:09 LOG5[19908:140508684384096]: 0 clients allowed
2017.02.16 11:36:09 LOG7[19908:140508684384096]: FD 5 in non-blocking mode
2017.02.16 11:36:09 LOG7[19908:140508684384096]: FD 6 in non-blocking mode
2017.02.16 11:36:09 LOG7[19908:140508684384096]: FD 8 in non-blocking mode
2017.02.16 11:36:09 LOG7[19908:140508684384096]: SO_REUSEADDR option set on accept socket
2017.02.16 11:36:09 LOG7[19908:140508684384096]: https bound to 0.0.0.0:80
2017.02.16 11:36:09 LOG7[19909:140508684384096]: Created pid file /opt/cprocsp/sbin/amd64/stunnel_serv.pid
2017.02.16 11:36:09 LOG7[19909:140508684384096]: open file /home/tech2017.cer with certificate
2017.02.16 11:36:09 LOG5[19909:140508684384096]: CertFindCertificateInStore not find certificate in LOCAL_MACHINE store. Looking at CURRENT_USER
2017.02.16 11:36:09 LOG3[19909:140508684384096]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2017.02.16 11:36:09 LOG3[19909:140508684384096]: Error creating credentials
2017.02.16 11:36:09 LOG7[19909:140508684384096]: removing pid file /opt/cprocsp/sbin/amd64/stunnel_serv.pid В логе ошибка с тем же кодом, что и при проверке TLS-соединения с помощью csptestf (см. первое сообщение в теме). Код ошибки 0x80090304. Ключи установлены в хранилище пользователя root с привязкой к файлу сертификата. Помогите разобраться в чем проблема...
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
|
Скорее всего не открывается контейнер при создании мандата. Где находится контейнер? Пароль не на него не установлен? |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2017(UTC) Сообщений: 24 Сказал(а) «Спасибо»: 7 раз
|
Контейнер размещен в /var/opt/cprocsp/keys/root/. Пароль на него установлен стандартный 12345678. Сертификат установлен в хранилище пользователя root.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,396 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 718 раз в 622 постах
|
Попробуйте сделать контейнер без пароля. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
