Ключевое слово в защите информации
ключевое слово
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Обрыв соединения в stunnel
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline schmel  
#1 Оставлено : 19 апреля 2018 г. 18:37:39(UTC)
schmel

Статус: Участник

Группы: Участники
Зарегистрирован: 24.09.2015(UTC)
Сообщений: 12
Российская Федерация
Откуда: Пенза

Сказал(а) «Спасибо»: 1 раз
КриптоПРО CSP 4

root@2209f:/# dpkg -l | grep cpro
ii cprocsp-compat-debian 1.0.0-1 all CryptoPro CSP compatibility extension for non-LSB Debian/Ubuntu
ii cprocsp-curl-64 4.0.0-4 amd64 CryptoPro Curl shared library and binaris. Build 9842.
ii cprocsp-stunnel-64 4.0.0-4 amd64 Universal SSL/TLS tunnel.
ii lsb-cprocsp-base 4.0.0-4 all CryptoPro CSP library. Build 9842.
ii lsb-cprocsp-capilite-64 4.0.0-4 amd64 CryptoAPI lite. Build 9842.
ii lsb-cprocsp-kc1-64 4.0.0-4 amd64 CryptoPro CSP library. Build 9842.
ii lsb-cprocsp-rdr-64 4.0.0-4 amd64 CryptoPro CSP readers. Build 9842.

Цитата:
root@2209f:/# curl -V
curl 7.21.3 (x86_64-unknown-linux-gnu) libcurl/7.21.3 SSPI/CPRO Nov 14 2016 23:40:25 zlib/1.2.8 libidn/1.33
Protocols: dict file ftp ftps gopher http https imap imaps pop3 pop3s rtsp smtp smtps telnet tftp
Features: IDN IPv6 Largefile NTLM SSL SSPI libz



root@2209f:/# stunnel_thread -version
Цитата:
stunnel 4.18 on x86_64-unknown-linux-gnu
Threading:PTHREAD Sockets:POLL,IPv6 Auth:LIBWRAP

Global options
debug = 5
pid = /opt/cprocsp/var/run/stunnel/stunnel.pid
RNDbytes = 64
RNDfile = /dev/urandom
RNDoverwrite = yes
for_hsm = yes|no HSM mode with unix socket auth

Service-level options
cert = /etc/opt/cprocsp/stunnel/stunnel.pem
key = /etc/opt/cprocsp/stunnel/stunnel.pem
session = 300 seconds
TIMEOUTbusy = 300 seconds
TIMEOUTclose = 60 seconds
TIMEOUTconnect = 10 seconds
TIMEOUTidle = 43200 seconds
verify = none



Stunnel.conf
Цитата:
pid = /tmp/stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

# MAX 7
debug = 3
client = yes
foreground = yes

[gost_site]
accept = 0.0.0.0:5115
connect = gost_site.ru:443


Сайт - обычный, который работает по GOST с СА от КриптоПРО. Никаких авторизаций по сертификатам нет.
На машине добавлены корневые сертификаты от КриптоПРО.

Под спойлером используемые сертификаты в системе.




Раз в час рвется соединение и stunnel приходится перезапускать. Сейчас создал костыль с cron, но хотелось бы без него работать.

Ошибки вот какие:

| 2018.04.18 12:31:46 LOG3[1:140520408749824]: Credentials complete
| 2018.04.18 12:31:57 LOG3[1:140520408749824]: Credentials complete
| 2018.04.18 12:32:07 LOG3[1:140520408749824]: Credentials complete
| 2018.04.18 12:32:07 LOG3[1:140520408749824]: Error 0x40 ((unknown)) returned by CertVerifyCertificateChainPolicy!
| 2018.04.18 12:32:07 LOG3[1:140520408749824]: Error 0x40 when validate certificate
|
| 2018.04.18 12:32:07 LOG3[1:140520408749824]: Error 0x8009030e returned by VerifyCertChain
| 2018.04.18 12:32:07 LOG3[1:140520408749824]: **** Error 0x8009030e authenticating server credentials!
| 2018.04.18 12:32:17 LOG3[1:140520408749824]: Credentials complete
| 2018.04.18 12:32:17 LOG3[1:140520408749824]: Error 0x40 ((unknown)) returned by CertVerifyCertificateChainPolicy!
| 2018.04.18 12:32:17 LOG3[1:140520408749824]: Error 0x40 when validate certificate
|
| 2018.04.18 12:32:17 LOG3[1:140520408749824]: Error 0x8009030e returned by VerifyCertChain
| 2018.04.18 12:32:17 LOG3[1:140520408749824]: **** Error 0x8009030e authenticating server credentials!
| 2018.04.18 12:32:27 LOG3[1:140520408749824]: Credentials complete
| 2018.04.18 12:32:27 LOG3[1:140520408749824]: Error 0x40 ((unknown)) returned by CertVerifyCertificateChainPolicy!
| 2018.04.18 12:32:27 LOG3[1:140520408749824]: Error 0x40 when validate certificate
Вверх
Offline Русев Андрей  
#2 Оставлено : 19 апреля 2018 г. 20:24:01(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,581

Сказал(а) «Спасибо»: 47 раз
Поблагодарили: 665 раз в 459 постах
Предположительно эта ошибка (CPCSP-7930) исправлена в КриптоПро CSP 4.0.9944 (Xenocrates) от 22.02.2018:
https://www.cryptopro.ru...ads#latest_csp40r3_linux
https://www.cryptopro.ru...9944/linux-amd64_deb.tgz
На дистрибутив получено положительное заключение ФСБ, скоро будет сертификат.
Официальная техподдержка. Официальная база знаний.
Вверх
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
schmel оставлено 20.04.2018(UTC)
Offline schmel  
#3 Оставлено : 20 апреля 2018 г. 14:27:20(UTC)
schmel

Статус: Участник

Группы: Участники
Зарегистрирован: 24.09.2015(UTC)
Сообщений: 12
Российская Федерация
Откуда: Пенза

Сказал(а) «Спасибо»: 1 раз
С новой версией stunnel падает совсем :(

2018.04.20 11:21:51 LOG3[1:140262141683456]: Credentials complete
2018.04.20 11:22:01 LOG3[1:140262141683456]: Credentials complete
*** Error in `/opt/cprocsp/sbin/amd64/stunnel_thread': corrupted size vs. prev_size: 0x00007f9148073420 ***
======= Backtrace: =========
/lib/x86_64-linux-gnu/libc.so.6(+0x70bfb)[0x7f914f787bfb]
/lib/x86_64-linux-gnu/libc.so.6(+0x76fc6)[0x7f914f78dfc6]
/lib/x86_64-linux-gnu/libc.so.6(+0x7962f)[0x7f914f79062f]
/lib/x86_64-linux-gnu/libc.so.6(__libc_malloc+0x54)[0x7f914f791f64]
/opt/cprocsp/lib/amd64/libcapi20.so.4(CertCreateCertificateContext+0x21)[0x7f915238fe91]
/opt/cprocsp/sbin/amd64/stunnel_thread[0x403772]
/opt/cprocsp/sbin/amd64/stunnel_thread[0x403dbe]
/opt/cprocsp/sbin/amd64/stunnel_thread[0x406203]
/opt/cprocsp/sbin/amd64/stunnel_thread[0x40736f]
/opt/cprocsp/sbin/amd64/stunnel_thread[0x408a4d]
/opt/cprocsp/sbin/amd64/stunnel_thread[0x408cff]
/lib/x86_64-linux-gnu/libpthread.so.0(+0x7494)[0x7f915096b494]
/lib/x86_64-linux-gnu/libc.so.6(clone+0x3f)[0x7f914f7ffacf]
Вверх
Offline Русев Андрей  
#4 Оставлено : 29 апреля 2018 г. 18:39:22(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,581

Сказал(а) «Спасибо»: 47 раз
Поблагодарили: 665 раз в 459 постах
А можете скинуть сертификат веб-сервера?
Официальная техподдержка. Официальная база знаний.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2026, Yet Another Forum.NET