Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Eugene_Moiseev1  
#1 Оставлено : 21 сентября 2017 г. 11:58:46(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Добрый день.
Сделал туннель между клиентом на windows и сервером на linux.

Настройки сервера

Код:
cert = server.np
pid = /etc/stunnel/server.pid
debug = 7
output = /etc/stunnel/stunnel-server.log
[server]
accept = 443
connect = 10.8.210.29:8080
verify = 0


Настройки клиента

Код:
debug = 7
output = c:/Users/MyUser/Dev/app/stunnel/client-2012.log

[client]
client = yes
accept = 127.0.0.1:8084
connect = 127.0.0.1:8085


Правильно ли я понимаю что т.к. на стороне сервера стоит verify = 0 то не происходит шифрования трафика от сервера по ГОСТ 2012?

Если так, то на чьей стороне (клиента/ сервера) нужно поставить verify=1 (мб и не 1), чтобы трафик шифровался?

Так же правильно ли я понимаю что, например, при verify = 1 нужно указывать CApath или CAfile ? откуда мне взять CAfile для сервера, если я полчуал сертификат через ваш тестовый центр?
Offline Eugene_Moiseev1  
#2 Оставлено : 21 сентября 2017 г. 12:35:47(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Добавил в настройки клиента сертификат
Код:
cert = ClientCert
verify = 2


На стороне сервера тоже добавил
Код:
verify = 2


Без verify ]в настройках клиента все работает.
С ним же
клиент выдает ошибку

Код:
: Option TCP_NODELAY set on remote socket
2017.09.21 12:27:38 LOG7[7]: Remote descriptor (FD=1708) initialized
2017.09.21 12:27:38 LOG6[7]: SNI: sending servername: 127.0.0.1
2017.09.21 12:27:38 LOG6[7]: Peer certificate required
2017.09.21 12:27:38 LOG6[7]: msspi: TLSv1 connected (FF85)
2017.09.21 12:27:38 LOG3[7]: msspi: verify failed (CERT_E_CN_NO_MATCH)
2017.09.21 12:27:38 LOG5[7]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.21 12:27:38 LOG7[7]: Remote descriptor (FD=1708) closed
2017.09.21 12:27:38 LOG7[7]: Local descriptor (FD=1684) closed
2017.09.21 12:27:38 LOG7[7]: Service [client] finished (0 left)


Подскажите пожалуйста, непонятно в чем проблема

Отредактировано пользователем 21 сентября 2017 г. 12:36:44(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#3 Оставлено : 21 сентября 2017 г. 12:51:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Eugene_Moiseev1 Перейти к цитате
Без verify ]в настройках клиента все работает.
С ним же
клиент выдает ошибку

Вы коннектитесь к 127.0.0.1:8085, смысла делать verify нет.

Если же вы коннектитесь к удалённому хосту, например example.com, то сертификат может быть проверен (verify > 0).

CERT_E_CN_NO_MATCH означает, что при проверке сертификата произошла ошибка проверки соответствия CN и hostname.
Знания в базе знаний, поддержка в техподдержке
Offline Eugene_Moiseev1  
#4 Оставлено : 21 сентября 2017 г. 13:17:59(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Автор: pd Перейти к цитате
Автор: Eugene_Moiseev1 Перейти к цитате
Без verify ]в настройках клиента все работает.
С ним же
клиент выдает ошибку

Вы коннектитесь к 127.0.0.1:8085, смысла делать verify нет.

Если же вы коннектитесь к удалённому хосту, например example.com, то сертификат может быть проверен (verify > 0).




Тут немного сложнее, хоть это и 127.0.0.1:8085 - это порт коннект к вирутальной машине. поэтому по факту можно считать что это удаленный хост.


Цитата:
CERT_E_CN_NO_MATCH означает, что при проверке сертификата произошла ошибка проверки соответствия CN и hostname.

В моем случае не понял в итоге что нужно поставить в connect?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.