Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

9 Страницы<1234>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#11 Оставлено : 19 января 2017 г. 11:34:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
stunnel с поддержкой ГОСТ обновлён до версии 5.39: https://github.com/deemru/stunnel/releases/latest

Знания в базе знаний, поддержка в техподдержке
Offline basid  
#12 Оставлено : 20 января 2017 г. 4:49:54(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,033

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Если CDN репозитория публичных проектов не позволяет скачивать общедоступные файлы wget-ом - это уже не только за гранью добра, но и за гранью разума.
Особенно нравится итоговое "Вы нас задоссили - приходите попозже" (строки "сложены" консолью):

Если CDN не хочет, чтобы тул перебирал ссылки, которые отдаёт CDN - не надо отдавать эти ссылки.

P.S. Как-только браузеры научатся "искаропки" работать с Last-Modified - я ограничу использование утилит командной строки.
Offline Дмитрий Пичулин  
#13 Оставлено : 23 января 2017 г. 13:11:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Автор: basid Перейти к цитате
Если CDN репозитория публичных проектов не позволяет скачивать общедоступные файлы wget-ом - это уже не только за гранью добра, но и за гранью разума.
Особенно нравится итоговое "Вы нас задоссили - приходите попозже"

github хороший, просто иногда глючит

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#14 Оставлено : 31 января 2017 г. 17:47:31(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Обновление stunnel с поддержкой ГОСТ до версии 5.40: https://github.com/deemru/stunnel/releases/latest
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#15 Оставлено : 8 августа 2017 г. 13:47:58(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Обновление stunnel с поддержкой ГОСТ до версии 5.43: https://github.com/deemru/stunnel/releases/latest

Данный релиз содержит готовые для использования исполняемые файлы stunnel-msspi как для Windows, так и для Linux.

Знания в базе знаний, поддержка в техподдержке
Offline Eugene_Moiseev1  
#16 Оставлено : 1 сентября 2017 г. 16:40:56(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Автор: pd Перейти к цитате
Обновление stunnel с поддержкой ГОСТ до версии 5.43: https://github.com/deemru/stunnel/releases/latest

Данный релиз содержит готовые для использования исполняемые файлы stunnel-msspi как для Windows, так и для Linux.



Запустил на клиенте и на сервер msspi

Сервер выдал ошибку с сертификатом.
Код:
pincode = msv
даже поставил. не помогло

Код:
2017.09.01 13:33:14 LOG7[1]: Service [server] started
2017.09.01 13:33:14 LOG7[1]: Option TCP_NODELAY set on local socket
2017.09.01 13:33:14 LOG5[1]: Service [server] accepted connection from 172.17.0.1:34986
2017.09.01 13:33:14 LOG6[1]: msspi: try open cert = "/etc/stunnel/server.example.cer" as file
2017.09.01 13:33:14 LOG6[0]: msspi: try open cert = "/etc/stunnel/server.example.cer" as file
2017.09.01 13:33:14 LOG3[1]: msspi: msspi_set_mycert_options failed (cert = "/etc/stunnel/server.example.cer", pin = "msv")
2017.09.01 13:33:14 LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.01 13:33:14 LOG3[0]: msspi: msspi_set_mycert_options failed (cert = "/etc/stunnel/server.example.cer", pin = "msv")
2017.09.01 13:33:14 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.01 13:33:14 LOG7[0]: Local descriptor (FD=4) closed
2017.09.01 13:33:14 LOG7[0]: Service [server] finished (1 left)
2017.09.01 13:33:14 LOG7[1]: Local descriptor (FD=11) closed
2017.09.01 13:33:14 LOG7[1]: Service [server] finished (0 left)
2017.09.01 13:33:14 LOG7[main]: Found 1 ready file descriptor(s)
2017.09.01 13:33:14 LOG7[main]: FD=5 events=0x2001 revents=0x0
2017.09.01 13:33:14 LOG7[main]: FD=7 events=0x2001 revents=0x1
2017.09.01 13:33:14 LOG7[main]: Service [server] accepted (FD=4) from 172.17.0.1:34988
2017.09.01 13:33:14 LOG7[2]: Service [server] started
2017.09.01 13:33:14 LOG7[2]: Option TCP_NODELAY set on local socket
2017.09.01 13:33:14 LOG5[2]: Service [server] accepted connection from 172.17.0.1:34988
2017.09.01 13:33:14 LOG6[2]: msspi: try open cert = "/etc/stunnel/server.example.cer" as file
2017.09.01 13:33:14 LOG3[2]: msspi: msspi_set_mycert_options failed (cert = "/etc/stunnel/server.example.cer", pin = "msv")
2017.09.01 13:33:14 LOG5[2]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.01 13:33:14 LOG7[2]: Local descriptor (FD=4) closed
2017.09.01 13:33:14 LOG7[2]: Service [server] finished (0 left)

Offline Дмитрий Пичулин  
#17 Оставлено : 1 сентября 2017 г. 17:02:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Автор: Eugene_Moiseev1 Перейти к цитате
Сервер выдал ошибку с сертификатом.

Код:
2017.09.01 13:33:14 LOG6[2]: msspi: try open cert = "/etc/stunnel/server.example.cer" as file
2017.09.01 13:33:14 LOG3[2]: msspi: msspi_set_mycert_options failed (cert = "/etc/stunnel/server.example.cer", pin = "msv")

Запускайте stunnel-msspi от того пользователя, у которого есть доступ к закрытому ключу и сертификату.

Возможно это root и вы забыли sudo, или наоборот это обычный пользователь и от него необходимо производить запуск.


Знания в базе знаний, поддержка в техподдержке
Offline Eugene_Moiseev1  
#18 Оставлено : 1 сентября 2017 г. 17:15:46(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Автор: pd Перейти к цитате
Автор: Eugene_Moiseev1 Перейти к цитате
Сервер выдал ошибку с сертификатом.

Код:
2017.09.01 13:33:14 LOG6[2]: msspi: try open cert = "/etc/stunnel/server.example.cer" as file
2017.09.01 13:33:14 LOG3[2]: msspi: msspi_set_mycert_options failed (cert = "/etc/stunnel/server.example.cer", pin = "msv")

Запускайте stunnel-msspi от того пользователя, у которого есть доступ к закрытому ключу и сертификату.

Возможно это root и вы забыли sudo, или наоборот это обычный пользователь и от него необходимо производить запуск.



Нашел в другой ветке рекомендацию от вас

Цитата:
Автор: voot Перейти к цитате
Путь до сертификата задавал абсолютный и именем файла - результат одинаковый.

Цитируем https://github.com/deemru/stunnel/releases:

Цитата:
You can use verify = 3 and for example CApath = TrustedPeople to check peers against "TrustedPeople" system certificate store.

You can use a certificate name, a key identifier or a hash fingerprint in cert option to use the certificate from your certificate store in your configuration (for example cert = bf 3c 4a a0 25 5b 7c 65 91 4a 45 86 6d 86 ab be 1c 18 d5 12 or cert = bf3c4aa0255b7c65914a45866d86abbe1c18d512 or cert = BF:3C:4A:A0:25:5B:7C:65:91:4A:45:86:6D:86:AB:BE:1C:18:D5:12 or simple cert = my.example.com). And there is no need to use key option, because your appropriate private key is loaded automatically if it's present.

То есть, в поле "cert" указывается или имя сертификата, или идентификатор ключа, или отпечаток. Указывать путь к файлу — ошибка, файл с сертификатом не нужен. Наиболее вероятный для вас пример, просто:

Цитата:
cert = testuser2016


Если вы используете поле "CApath", то оно должно содержать название хранилища сертификатов, которым вы доверяете, например:

Цитата:
CApath = TrustedPeople

Или вы можете использовать менее строгую проверку по текущим корневым доверенным сертификатам "verify = 2" без указания CApath.



в поле cert сервера оставил просто server.example

это верно, точнее ошибка таже появилась ? Как он поймет какой сертификат брать?

Отредактировано пользователем 1 сентября 2017 г. 17:19:30(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#19 Оставлено : 1 сентября 2017 г. 17:37:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Ваш сертификат ищется по названию в хранилище. В этом случае можно указать "cert = server.example.com"

Но можно и файл оставить, в этом случае сертификат считается из файла и будет найден в хранилище.

Однако если его нет в хранилище пользователя, который запускает stunnel-msspi, будет ошибка.

Знания в базе знаний, поддержка в техподдержке
Offline Eugene_Moiseev1  
#20 Оставлено : 1 сентября 2017 г. 18:19:32(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Автор: pd Перейти к цитате
Ваш сертификат ищется по названию в хранилище. В этом случае можно указать "cert = server.example.com"

Но можно и файл оставить, в этом случае сертификат считается из файла и будет найден в хранилище.

Однако если его нет в хранилище пользователя, который запускает stunnel-msspi, будет ошибка.



Ломается когда указываю и файл и название,

Проверяю сертификат верно?

Код:
 ./certmgr -list -cont '\\.\HDIMAGE\server.example'
Certmgr 1.0 (c) "CryptoPro",  2007-2010.
program for managing certificates, CRLs and stores

=============================================================================
1-------
Issuer            : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject           : CN=server.example
Serial            : 0x12001FF1036386E33794474F280000001FF103
SHA1 Hash         : 0x7ae8f120177e346fd97487ddb912ccd4db21e1da
SubjKeyID         : 4acda4d0c08b3878006c6e790041f1d21f9bdee2
Not valid before  : 01/09/2017  07:27:40 UTC
Not valid after   : 01/12/2017  07:37:40 UTC
PrivateKey Link   : Certificate from container. No link to key
=============================================================================

[ErrorCode: 0x00000000]


Вроде есть же, но почему тогда до сих пор ошибка при запуске сервера
Код:
2017.09.01 15:05:29 LOG7[1]: Option TCP_NODELAY set on local socket
2017.09.01 15:05:29 LOG5[1]: Service [server] accepted connection from 172.17.0.1:35020
2017.09.01 15:05:29 LOG3[1]: msspi: msspi_set_mycert_options failed (cert = "server.example", pin = "msv")
2017.09.01 15:05:29 LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket


Юзер везде один и тот же: root

Или вы что-то другое имеете ввиду. Т.к. клиент stunnel который на windows, конечно под другим юзером запускается,
не под тем которым запускается сервер на linux.

Отредактировано пользователем 1 сентября 2017 г. 18:31:03(UTC)  | Причина: добавил вопрос

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
9 Страницы<1234>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.