Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
Если есть CDP может сходить за CRL автоматом.
Есть ли возможность на сервере поставить клиентский сертификат и выполнить например
/opt/cprocsp/bin/amd64/cryptcp -copycert -dn "..." -df file |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19  Сказал(а) «Спасибо»: 3 раз
|
сейчас отозван сертификат сервера
/opt/cprocsp/bin/amd64/cryptcp -copycert -dn "..." -df file
говорит, что отозван
Будет использован следующий сертификат:
Субъект:serv1
Действителен с 26.11.2013 08:41:00 по 26.02.2015 08:51:00
Цепочка сертификатов не проверена для следующего сертификата:
Субъект:serv1
Действителен с 26.11.2013 08:41:00 по 26.02.2015 08:51:00
Один из сертификатов в цепочке отозван.
Вы хотите использовать этот сертификат (Да[Y], Нет[N], Отмена[C])?
с клиентским пробовал такое же раньше
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
перенес отозванный серверный сертификат на клиента то же самое The following certificate will be used: RDN:serv1 Valid from 26.11.2013 08:41:00 to 26.02.2015 08:51:00 Certificate chain is not checked for this certificate: RDN:serv1 Valid from 26.11.2013 08:41:00 to 26.02.2015 08:51:00 Trust for this certificate or one of the certificates in the certificate chain has been revoked. Do you want to use this certificate ([Y]es, [N]o, [C]ancel)? - CDP сейчас недоступен - на сервере stunnel - версия от 27 августа 2013 г - на клиенте из пакета csp r3 - клиентскую машину перезагружал, на серверной перезапускал stunnel Отредактировано пользователем 19 декабря 2013 г. 19:05:37(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
Ок, тогда покажите сейчас лог от stunnel клиента когда вы ходите через него. И лог csptest -tlsc -v -v с той же машины. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
вот лог станнела
2013.12.19 21:16:14 LOG5[4145:3065534208]: stunnel 4.18 on i686-pc-linux-gnu
2013.12.19 21:16:14 LOG5[4145:3065534208]: Threading:PTHREAD Sockets:POLL,IPv4 Auth:LIBWRAP
2013.12.19 21:16:14 LOG6[4145:3065534208]: file ulimit = 1024 (can be changed with 'ulimit -n')
2013.12.19 21:16:14 LOG6[4145:3065534208]: poll() used - no FD_SETSIZE limit for file descriptors
2013.12.19 21:16:14 LOG5[4145:3065534208]: 0 clients allowed
2013.12.19 21:16:14 LOG7[4145:3065534208]: FD 5 in non-blocking mode
2013.12.19 21:16:14 LOG7[4145:3065534208]: FD 6 in non-blocking mode
2013.12.19 21:16:14 LOG7[4145:3065534208]: FD 7 in non-blocking mode
2013.12.19 21:16:14 LOG7[4145:3065534208]: SO_REUSEADDR option set on accept socket
2013.12.19 21:16:14 LOG7[4145:3065534208]: service0 bound to 0.0.0.0:4321
2013.12.19 21:16:14 LOG7[4146:3065534208]: Created pid file /opt/cprocsp/sbin/ia32/stunnel.pid
2013.12.19 21:16:43 LOG7[4146:3065534208]: service0 accepted FD=8 from 127.0.0.1:41136
2013.12.19 21:16:43 LOG7[4146:3063274304]: client start
2013.12.19 21:16:43 LOG7[4146:3063274304]: service0 started
2013.12.19 21:16:43 LOG7[4146:3063274304]: FD 8 in non-blocking mode
2013.12.19 21:16:43 LOG7[4146:3063274304]: TCP_NODELAY option set on local socket
2013.12.19 21:16:43 LOG7[4146:3063274304]: FD 9 in non-blocking mode
2013.12.19 21:16:43 LOG7[4146:3063274304]: FD 10 in non-blocking mode
2013.12.19 21:16:43 LOG7[4146:3063274304]: Connection from 127.0.0.1:41136 permitted by libwrap
2013.12.19 21:16:43 LOG5[4146:3063274304]: service0 connected from 127.0.0.1:41136
2013.12.19 21:16:43 LOG7[4146:3065534208]: Cleaning up the signal pipe
2013.12.19 21:16:43 LOG6[4146:3065534208]: Child process 4192 finished with code 0
2013.12.19 21:16:43 LOG7[4146:3063274304]: FD 13 in non-blocking mode
2013.12.19 21:16:43 LOG7[4146:3063274304]: service0 connecting
2013.12.19 21:16:43 LOG7[4146:3063274304]: connect_wait: waiting 10 seconds
2013.12.19 21:16:43 LOG7[4146:3063274304]: connect_wait: connected
2013.12.19 21:16:43 LOG7[4146:3063274304]: Remote FD=13 initialized
2013.12.19 21:16:43 LOG7[4146:3063274304]: TCP_NODELAY option set on remote socket
2013.12.19 21:16:43 LOG7[4146:3063274304]: start SSPI connect
2013.12.19 21:16:43 LOG5[4146:3063274304]: try to read the client certificate
2013.12.19 21:16:43 LOG7[4146:3063274304]: open file /opt/cprocsp/sbin/ia32/node.cer with certificate
2013.12.19 21:16:43 LOG7[4146:3065534208]: Cleaning up the signal pipe
2013.12.19 21:16:43 LOG3[4146:3063274304]: Credentials complete
2013.12.19 21:16:43 LOG7[4146:3063274304]: 126 bytes of handshake data sent
2013.12.19 21:16:43 LOG5[4146:3063274304]: 2152 bytes of handshake(in handshake loop) data received.
2013.12.19 21:16:43 LOG5[4146:3063274304]: 803 bytes of handshake data sent
2013.12.19 21:16:43 LOG5[4146:3063274304]: 31 bytes of handshake(in handshake loop) data received.
2013.12.19 21:16:43 LOG5[4146:3063274304]: Handshake was successful
2013.12.19 21:16:43 LOG5[4146:3063274304]: PerformClientHandshake finish
2013.12.19 21:16:43 LOG5[4146:3063274304]: Server subject: CN=serv1
2013.12.19 21:16:43 LOG5[4146:3063274304]: Server issuer: CN=cryptopro-CA
2013.12.19 21:16:43 LOG5[4146:3063274304]: Protocol: TLS1
2013.12.19 21:16:43 LOG5[4146:3063274304]: Cipher: Gost 28147-89
2013.12.19 21:16:43 LOG5[4146:3063274304]: Cipher strength: 256
2013.12.19 21:16:43 LOG5[4146:3063274304]: Hash: Gost R 34.11-94
2013.12.19 21:16:43 LOG5[4146:3063274304]: Hash strength: 256
2013.12.19 21:16:43 LOG5[4146:3063274304]: Key exchange: 0xaa24
2013.12.19 21:16:43 LOG5[4146:3063274304]: Key exchange strength: 512
2013.12.19 21:16:43 LOG7[4146:3063274304]: Handshake_done
2013.12.19 21:16:43 LOG7[4146:3063274304]: add ssl read socket to pool
2013.12.19 21:16:43 LOG7[4146:3063274304]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2013.12.19 21:16:43 LOG7[4146:3063274304]: Enter pool section on transfer
2013.12.19 21:16:46 LOG7[4146:3063274304]: data reciev from socket = 14
2013.12.19 21:16:46 LOG7[4146:3063274304]: add ssl read socket to pool
2013.12.19 21:16:46 LOG7[4146:3063274304]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=14,want_rd = 0
2013.12.19 21:16:46 LOG7[4146:3063274304]: Enter pool section on transfer
2013.12.19 21:16:46 LOG5[4146:3063274304]: SSPI_write start
2013.12.19 21:16:46 LOG7[4146:3063274304]: SSPI_write data is Test
2013.12.19 21:16:46 LOG7[4146:3063274304]: send all data after encrypt
2013.12.19 21:16:46 LOG7[4146:3063274304]: data send to ssl_socket =14
2013.12.19 21:16:46 LOG7[4146:3063274304]: add ssl read socket to pool
2013.12.19 21:16:46 LOG7[4146:3063274304]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2013.12.19 21:16:46 LOG7[4146:3063274304]: Enter pool section on transfer
2013.12.19 21:16:46 LOG7[4146:3063274304]: SSPI_read start
2013.12.19 21:16:46 LOG7[4146:3063274304]: recv ok on SSPI_read err= 23
2013.12.19 21:16:46 LOG5[4146:3063274304]: Received 23 bytes from ssl socket
2013.12.19 21:16:46 LOG7[4146:3063274304]: SSPI_read data in ssl_buff is Test
2013.12.19 21:16:46 LOG7[4146:3063274304]: data read from ssl_sock =14
2013.12.19 21:16:46 LOG7[4146:3063274304]: add ssl read socket to pool
2013.12.19 21:16:46 LOG7[4146:3063274304]: ssl_rd = 1, c->ssl_ptr = 14,c->sock_ptr=0,want_rd = 0
2013.12.19 21:16:46 LOG7[4146:3063274304]: add write socket to poll
2013.12.19 21:16:46 LOG7[4146:3063274304]: Enter pool section on transfer
2013.12.19 21:16:46 LOG7[4146:3063274304]: data send to socket = 14
2013.12.19 21:16:46 LOG7[4146:3063274304]: add ssl read socket to pool
2013.12.19 21:16:46 LOG7[4146:3063274304]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2013.12.19 21:16:46 LOG7[4146:3063274304]: Enter pool section on transfer
2013.12.19 21:16:47 LOG7[4146:3063274304]: Socket closed on read
2013.12.19 21:16:47 LOG7[4146:3063274304]: SSL write shutdown
2013.12.19 21:16:47 LOG7[4146:3063274304]: add ssl read socket to pool
2013.12.19 21:16:47 LOG7[4146:3063274304]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2013.12.19 21:16:47 LOG7[4146:3063274304]: Enter pool section on transfer
2013.12.19 21:16:47 LOG5[4146:3063274304]: 11 bytes of close_notify data sent
2013.12.19 21:16:47 LOG6[4146:3063274304]: SSL_shutdown successfully sent close_notify
2013.12.19 21:16:47 LOG7[4146:3063274304]: Socket write shutdown
2013.12.19 21:16:47 LOG7[4146:3063274304]: c->ssl_ptr = 0
2013.12.19 21:16:47 LOG5[4146:3063274304]: Connection closed: 14 bytes sent to SSL, 14 bytes sent to socket
2013.12.19 21:16:47 LOG7[4146:3063274304]: free Buffers
2013.12.19 21:16:47 LOG7[4146:3063274304]: delete c->hContext
2013.12.19 21:16:47 LOG7[4146:3063274304]: delete c->hClientCreds
2013.12.19 21:16:47 LOG5[4146:3063274304]: incomp_mess = 1, extra_data = 0
2013.12.19 21:16:47 LOG7[4146:3063274304]: service0 finished (0 left)
и sudo ./csptestf -tlsc -server serv1 -port 31339
Error 0x80092010 ((unknown)) returned by CertVerifyCertificateChainPolicy!
Error 0x80092010 authenticating client credentials
SECPKG_ATTR_PACKAGE_INFO not supported.
Error 0x80092010 ((unknown)) returned by CertVerifyCertificateChainPolicy!
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:610:Error authenticating server credentials!
Error number 0x80092010 (-2146885616).
The certificate is revoked.
Total:
[ErrorCode: 0x80092010]
Отредактировано пользователем 19 декабря 2013 г. 20:53:59(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
И при этом в конфиге стоит verify=2? Не вижу в логе вызовов CertGetCertificateChain или CertVerifyCertificateChainPolicy |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
конфиг клиентского stunnel
setuid = root
pid=/opt/cprocsp/sbin/ia32/stunnel.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
verify = 2
debug = 7
output = /opt/cprocsp/sbin/ia32/stunnel.log
CAFile = /opt/cprocsp/sbin/ia32/cryptoproCA.cer
[service0]
client = yes
accept = 4321
connect = serv1:31339
cert = /opt/cprocsp/sbin/ia32/node.cer
при удалении корневого сертификата или истечении срока действия серверного появляется
2013.12.20 09:55:43 LOG5[5365:3062606656]: Server subject: CN=serv1
2013.12.20 09:55:43 LOG5[5365:3062606656]: Server issuer: CN=cryptopro-CA
2013.12.20 09:55:43 LOG3[5365:3062606656]: Error 0x800b010a (CERT_E_CHAINING) returned by CertVerifyCertificateChainPolicy!
2013.12.20 09:55:43 LOG3[5365:3062606656]: Server name for checking is serv1
2013.12.20 09:55:43 LOG3[5365:3062606656]: **** Error 0x800b010a authenticating server credentials!
Отредактировано пользователем 20 декабря 2013 г. 9:02:37(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
Вроде все правильно. Вернул ошибку если что то не так с серверным сертификатом. Отредактировано пользователем 20 декабря 2013 г. 13:16:18(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
я к тому, что CertVerifyCertificateChainPolicy все же отрабатывает. непонятно, почему отозванный проходит
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
|
Как то я совсем запутался в ваших ответах. Вы привели лог где функция вернула ошибку при проверке сертификата. И при этом соединение установилось(можете лог чуть больше привести, где видно что происходило дальше)? Или вы про другой какой то случай? |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
