Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline vva  
#1 Оставлено : 7 мая 2018 г. 19:53:23(UTC)
vva

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.03.2012(UTC)
Сообщений: 4

Приветствую

в общем для того чтобы код на php общался через ГОСТ вский TLS с SOAP сервисом на IIS
поднимаю stunnel на клиенте

через csptest.exe ресурс загружается
если сделать соединение с stunnel на сервере (не на 443 порту), тоже работает

а вот при попытке соединиться через клиентский stunnel напрямую с IIS после успешного handshake и проверки сертификатов
почему то всё заканчивается "неудачным чтением"
для stunnel.exe -debug: recv return 0 and ask more but there is not complete data for decrypt
для stunnel-msspi-cli.exe: TLS closed (SSL_read)

т.е. такое ощущение, что почему то сервер прерывает связь
причём в самих логах IIS ничего не остаётся
но клиенту откуда-то приходит 404 от Server: Microsoft-HTTPAPI/2.0

конфиги и логи такие:

stunnel.exe --debug:
конфиг: stunnel.debug.conf.txt (1kb) загружен 9 раз(а).
лог: stun.debug.log (6kb) загружен 7 раз(а).

stunnel-msspi-cli.exe:
конфиг: stunnel.msspi.conf.txt (1kb) загружен 9 раз(а).
лог: stun.msspi.log (4kb) загружен 7 раз(а).

csptest:
команда: csptest.exe -tlsc -server crm.777.ru -port 443 -cert "CN=Тестовая организация" -verbose -file /crm/Service.svc > res.txt
вывод: csptest.txt (4kb) загружен 7 раз(а).

Подскажите что нибудь умное, а то вообще сомнение берёт что stunnel умеет на IIS набрасывать..
Offline Дмитрий Пичулин  
#2 Оставлено : 7 мая 2018 г. 22:44:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: vva Перейти к цитате
через csptest.exe ресурс загружается
если сделать соединение с stunnel на сервере (не на 443 порту), тоже работает

...

Подскажите что нибудь умное, а то вообще сомнение берёт что stunnel умеет на IIS набрасывать..


Есть уверенность, что через stunnel запрос аналогичный csptest уходит?

Код:
HTTP request: GET /crm/Service.svc HTTP/1.1

User-Agent: Webclient

Accept:*/*

Host: crm.777.ru

Connection: close

Ещё вариант, добавить sni явно:

Код:
sni = crm.777.ru


Знания в базе знаний, поддержка в техподдержке
Offline vva  
#3 Оставлено : 8 мая 2018 г. 19:37:46(UTC)
vva

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.03.2012(UTC)
Сообщений: 4

Автор: pd Перейти к цитате
Есть уверенность, что через stunnel запрос аналогичный csptest уходит?


да, конечно
в командной строке браузера именно это вбиваю


Автор: pd Перейти к цитате
Ещё вариант, добавить sni явно:

Код:
sni = crm.777.ru




попробовал
для stunnel-msspi-cli.exe поведение НЕ изменилось
stunnel.exe -debug с такой опцией вообще не запускается

Offline Дмитрий Пичулин  
#4 Оставлено : 22 мая 2018 г. 10:36:31(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 464 раз в 332 постах
Автор: vva Перейти к цитате
Автор: pd Перейти к цитате
Есть уверенность, что через stunnel запрос аналогичный csptest уходит?


да, конечно
в командной строке браузера именно это вбиваю


Автор: pd Перейти к цитате
Ещё вариант, добавить sni явно:

Код:
sni = crm.777.ru




попробовал
для stunnel-msspi-cli.exe поведение НЕ изменилось
stunnel.exe -debug с такой опцией вообще не запускается


Вероятно ошибка всё же в отсутствии заголовка http с содержанием "Host: crm.777.ru", поэтому сервер не может сопоставить ваш запрос ресурсу. То есть, ошибка не в TLS.

С большой вероятностью, в браузере вы "вбиваете": http://192.168.44.24:1500/crm/Service.svc

А для того чтобы host в заголовке был отправлен должно быть: http://crm.777.ru:1500/crm/Service.svc

Для этого на машине с браузером добавьте в /etc/hosts "192.168.44.24 crm.777.ru" и попробуйте ещё раз.
Знания в базе знаний, поддержка в техподдержке
Offline Pichuzhkin Victor  
#5 Оставлено : 7 октября 2018 г. 17:00:17(UTC)
Pichuzhkin Victor

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Хотя вопрос уже, наверно, не актуален, но все же кому-то может пригодиться.
Если IIS дает 404 ошибку, но в логах IIS ничего не отражается - скорее всего это как раз попадание в тот случай, когда из-за того, что не передается HOST-заголовок - IIS не может понять на какой из Site-ов определить данный запрос.
Тем не менее, запрос этот скорее всего будет залогирован, просто не средствами IIS а HTTP-ядра Windows в логи HTTPERR
По умолчанию находятся здесь: %SystemRoot%\System32\LogFiles
Подробнее - https://support.microsof...ror-logging-in-http-apis
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.