Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
stunnel не коннектится к ГИС ЖКХ
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Holmax  
#11 Оставлено : 21 ноября 2018 г. 17:37:17(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13
А предыдущая ошибка с чем связана?
Что не так с

**** Error 0x80090304 returned by AcquireCredentialsHandle
Вверх
Offline Дмитрий Пичулин  
#12 Оставлено : 21 ноября 2018 г. 17:54:44(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 463 раз в 332 постах
Автор: Holmax Перейти к цитате
А предыдущая ошибка с чем связана?
Что не так с

**** Error 0x80090304 returned by AcquireCredentialsHandle

Как вы сами доказали разница между сертификатами есть, с одним работает с другим нет.

Варианты возможных ошибок в теме уже приведены.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline Holmax  
#13 Оставлено : 21 ноября 2018 г. 18:04:48(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13
Автор: Дмитрий Пичулин Перейти к цитате

Как вы сами доказали разница между сертификатами есть, с одним работает с другим нет.

Варианты возможных ошибок в теме уже приведены.


Не работает с обоими.

При этом в форуме вендора хотелось бы получать не "Варианты возможных ошибок",
а варианты решения этих ошибок.
Если не решения, то хотя бы причины возникновения ошибки, например: "**** Error 0x80090304 returned by AcquireCredentialsHandle"
Вверх
Offline Дмитрий Пичулин  
#14 Оставлено : 21 ноября 2018 г. 18:57:14(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,495
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 463 раз в 332 постах
Автор: Holmax Перейти к цитате
Не работает с обоими.

Вы не правы, вот ваш рабочий лог со вторым сертификатом: https://www.cryptopro.ru...ts&m=97390#post97390

Вам объяснено, что ошибка в логе не является ошибкой функционирования TLS, а также предложено направление для изучения происходящего в логе.

Автор: Holmax Перейти к цитате
При этом в форуме вендора хотелось бы получать не "Варианты возможных ошибок",
а варианты решения этих ошибок.
Если не решения, то хотя бы причины возникновения ошибки, например: "**** Error 0x80090304 returned by AcquireCredentialsHandle"

Говорим как есть, у данной ошибки много вариантов.

Текущий промежуточный итог: нам известно, что вы воспользовались инструкцией, но что-то не так с одним из сертификатом, при этом с другим работа по TLS идёт.

Возможный круг ошибок очерчен.

Мы предлагаем вам разобраться на каком шаге вы могли допустить ошибку с первым сертификатом и всё сделать корректно как у вас получилось со вторым.

Отредактировано пользователем 21 ноября 2018 г. 23:08:40(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline two_oceans  
#15 Оставлено : 22 ноября 2018 г. 3:14:08(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 395 раз в 366 постах
Автор: Дмитрий Пичулин Перейти к цитате
Ошибка проверки сертификата удалённой стороны не является ошибкой stunnel, напротив, его нормальное поведение при проблемах с сертификатом на удалённой стороне. Изучите "CERT_E_CN_NO_MATCH".

Или используйте verify = 0.
Скорее всего, ошибка также исчезнет, если в конфигурации вместо "217.107.108.156:10081" прописать полное доменное имя "sit02.dom.test.gosuslugu.ru:10081". Дело в том, что обычно сайтам не выдаются сертификаты с перечнем айпи адресов и практически на 100% уверен, что в сертификате сайта стоит только имя родительского домена со звездочкой вроде "*.gosuslugu.ru" и нормальное поведение спотыкается там где все в порядке просто из-за отсутствия сопоставления имени и айпи адреса.

Цитата:
AcquireCredentialsHandle
Все же подозреваю что дело в пин-коде. Перепроверьте действительно ли не стоит пароля или он просто запомнен. Есть шанс, что запомненный пароль не применяется. Хотя конечно лучше приверить и корневые сертификаты и наличие ссылки на закрытый ключ.
Вверх
Offline Holmax  
#16 Оставлено : 22 ноября 2018 г. 9:41:57(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13
Автор: two_oceans Перейти к цитате
Скорее всего, ошибка также исчезнет, если в конфигурации вместо "217.107.108.156:10081" прописать полное доменное имя "sit02.dom.test.gosuslugu.ru:10081". Дело в том, что обычно сайтам не выдаются сертификаты с перечнем айпи адресов и практически на 100% уверен, что в сертификате сайта стоит только имя родительского домена со звездочкой вроде "*.gosuslugu.ru" и нормальное поведение спотыкается там где все в порядке просто из-за отсутствия сопоставления имени и айпи адреса.

Не помогло

Цитата:
Все же подозреваю что дело в пин-коде. Перепроверьте действительно ли не стоит пароля или он просто запомнен. Есть шанс, что запомненный пароль не применяется. Хотя конечно лучше приверить и корневые сертификаты и наличие ссылки на закрытый ключ.


Пароль не стоит
Вверх
Offline Holmax  
#17 Оставлено : 22 ноября 2018 г. 9:43:30(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13
Автор: Дмитрий Пичулин Перейти к цитате

Текущий промежуточный итог: нам известно, что вы воспользовались инструкцией, но что-то не так с одним из сертификатом, при этом с другим работа по TLS идёт.

Возможный круг ошибок очерчен.

Мы предлагаем вам разобраться на каком шаге вы могли допустить ошибку с первым сертификатом и всё сделать корректно как у вас получилось со вторым.


Попробую создать еще один сертификат
Вверх
Offline Sergey Z.  
#18 Оставлено : 3 марта 2019 г. 17:29:58(UTC)
Sergey Z.

Статус: Новичок

Группы: Участники
Зарегистрирован: 03.03.2019(UTC)
Сообщений: 1
Бахрейн
Добрый день!

Использую версию КриптоПро CSP 4.0 R4 под Linux.

Проверяю соединение командой
csptest -tlsc -server api.dom.gosuslugi.ru -v -password XXXXXX

И получаю вот такую ошибку. Все сертивикаты сертификаты упомянутые внизу страницы поставил
https://support.cryptopr...s-web-servismi-gis-zhkkh

Код:

new schannel credential created
8 algorithms supported:
     Aglid  Class  OID
[00] 0x661e 0x6000 1.2.643.2.2.21 (ГОСТ 28147-89)
[01] 0x801e 0x8000 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001)
[02] 0x8021 0x8000 1.2.643.7.1.1.2.2 (ГОСТ Р 34.11-2012 256 бит)
[03] 0x801f 0x8000
[04] 0x2e1e 0x2000 1.2.643.2.2.20 (ГОСТ Р 34.10-94)
[05] 0x2e23 0x2000 1.2.643.2.2.19 (ГОСТ Р 34.10-2001)
[06] 0x2e49 0x2000 1.2.643.7.1.1.1.1 (ГОСТ Р 34.10-2012)
[07] 0x2e3d 0x2000 1.2.643.7.1.1.1.2 (ГОСТ Р 34.10-2012)
Cipher strengths: 256..256
Supported protocols: 0xa80:
    Transport Layer Security 1.0 client side
    Transport Layer Security 1.1 client side
    Transport Layer Security 1.2 client side
dwProtocolMask: 0x800a0aaa
4727 bytes of handshake data sent
2846 bytes of handshake data received
Handshake was successful
SECPKG_ATTR_CIPHER_INFO: Protocol: 80, Suite: FF85 (TLS_GOSTR341112_256_WITH_28147_CNT_IMIT)
SECPKG_ATTR_CIPHER_INFO: Cipher: (GOST 28147-89), Len: 256, BlockLen: 1
SECPKG_ATTR_CIPHER_INFO: Hash: (GR 34.11-2012 256), Len: 256
SECPKG_ATTR_CIPHER_INFO: Exchange: (GOST DH 34.10-2001), MinLen: 512, MaxLen: 512
SECPKG_ATTR_CIPHER_INFO: Certificate: (GR 34.10-2001), KeyType: 0
SECPKG_ATTR_NAMES: C=RU, S=77 г.Москва, L=Москва, STREET="Варшавское шоссе, 37", O="ФГУП ""Почта России""", OU=ГИС ЖКХ, OU=Api.dom, OU=Департамент управления ИТ сервисами, CN="ФГУП ""Почта России""", OGRN=1037724007276, INN=007724261610
SECPKG_ATTR_PACKAGE_INFO not supported.

Server certificate:
Subject: C=RU, S=77 г.Москва, L=Москва, STREET="Варшавское шоссе, 37", O="ФГУП ""Почта России""", OU=ГИС ЖКХ, OU=Api.dom, OU=Департамент управления ИТ сервисами, CN="ФГУП ""Почта России""", OGRN=1037724007276, INN=007724261610
Valid  : 15.05.2018 13:20:02 - 15.05.2023 23:59:00 (UTC)
Issuer : C=RU, S=77 г.Москва, L=Москва, STREET="Варшавское шоссе, дом 37", O="ФГУП ""Почта России""", OU=Удостоверяющий центр, CN="ФГУП ""Почта России""", OGRN=1037724007276, INN=007724261610
PrivKey: 15.05.2018 13:20:02 - 15.08.2019 23:59:00 (UTC)
[b]Error 0x800b010e (CERT_E_REVOCATION_FAILURE) returned by CertVerifyCertificateChainPolicy!
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/WebClient.c:769:Error authenticating server credentials!
Error number 0x800b010e (2148204814).
The revocation process could not continue - the certificate(s) could not be checked[/b].
Total: SYS: 0,140 sec USR: 0,400 sec UTC: 0,820 sec
[ErrorCode: 0x800b010e]


Где проскакивало на форму что дело может быть в отсутствующем curl, но он есть

Код:
root@vm96078:~# which curl 
/opt/cprocsp/bin/amd64/curl


Сам stunnel выдает такую ошибку

Код:
2019.03.03 16:15:23 LOG3[13618:140140620347136]: Credentials complete
2019.03.03 16:15:23 LOG7[13618:140140620347136]: 116 bytes of handshake data sent
2019.03.03 16:15:23 LOG5[13618:140140620347136]: 2920 bytes of handshake(in handshake loop) data received.
2019.03.03 16:15:23 LOG5[13618:140140620347136]: 1460 bytes of handshake(in handshake loop) data received.
2019.03.03 16:15:23 LOG5[13618:140140620347136]: 1460 bytes of handshake(in handshake loop) data received.
2019.03.03 16:15:23 LOG5[13618:140140620347136]: 1205 bytes of handshake(in handshake loop) data received.
2019.03.03 16:15:23 LOG3[13618:140140620347136]: **** Error 0x80090304 returned by InitializeSecurityContext (2)
2019.03.03 16:15:23 LOG3[13618:140140620347136]: Error performing handshake
2019.03.03 16:15:23 LOG5[13618:140140620347136]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2019.03.03 16:15:23 LOG7[13618:140140620347136]: free Buffers
2019.03.03 16:15:23 LOG7[13618:140140620347136]: delete c->hClientCreds
2019.03.03 16:15:23 LOG5[13618:140140620347136]: incomp_mess = 0, extra_data = 1


Прощу помощи.
Спасибо

Отредактировано пользователем 3 марта 2019 г. 17:32:53(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET