Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
Stunnel под win
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline basid  
#11 Оставлено : 8 апреля 2016 г. 7:28:27(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,108

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 153 раз в 138 постах
У хоста есть два "универсальных адреса": 127.0.0.1 ("я сам") и 0.0.0.0 ("все мои интерфейсы").
Любые другие адреса, если они нужны, "смотрятся по месту", а не берутся с потолка или с других хостов.
Вверх
Offline aakosenkov  
#12 Оставлено : 8 апреля 2016 г. 12:35:37(UTC)
aakosenkov

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.06.2015(UTC)
Сообщений: 3
Российская Федерация
Откуда: Тамбов
Автор: basid Перейти к цитате
У хоста есть два "универсальных адреса": 127.0.0.1 ("я сам") и 0.0.0.0 ("все мои интерфейсы").
Любые другие адреса, если они нужны, "смотрятся по месту", а не берутся с потолка или с других хостов.

100.8 адрес сервера. И писал его в процессе танцев с бубном.
Собственно говоря проблема с ошибкой 1067 процесс неожиданно завершён решена утилитой очистки крптопро и удалением всех сертификатов из всех хранилищ. Плюс установкой всех компонентов криптопро csp.
За помощь и сочувствие спасибо.

Но есть ещё вопрос:
Служба запустилась, но при обращении через експлорер на 127.0.0.1.1502 ничего не происходит.
Лог:
2016.04.08 12:15:44 LOG5[4224:1184]: https connected from 127.0.0.1:63499
2016.04.08 12:15:44 LOG7[4224:1184]: accept_handshake start
2016.04.08 12:15:44 LOG7[4224:1184]: SSPINegotiate start
2016.04.08 12:15:44 LOG7[4224:1184]: reading in SSPINeg err = 147
2016.04.08 12:15:44 LOG7[4224:1184]: Recieve 147 bytes from client on SSPINegotiateLoop
2016.04.08 12:15:46 LOG7[4224:1184]: AcceptSecurityContext finish, scRet = 590610
2016.04.08 12:15:46 LOG5[4224:1184]: Send 4662 handshake bytes to client
2016.04.08 12:15:46 LOG7[4224:1184]: reading in SSPINeg err = 210
2016.04.08 12:15:46 LOG7[4224:1184]: Recieve 210 bytes from client on SSPINegotiateLoop
2016.04.08 12:15:46 LOG7[4224:1184]: AcceptSecurityContext finish, scRet = 0
2016.04.08 12:15:46 LOG5[4224:1184]: Verify_level = 0, skipping client certificate verification
2016.04.08 12:15:46 LOG5[4224:1184]: Send 31 handshake bytes to client
2016.04.08 12:15:46 LOG5[4224:1184]: User validation finish ExLen = 0
2016.04.08 12:15:46 LOG7[4224:1184]: FD 512 in non-blocking mode
2016.04.08 12:15:46 LOG7[4224:1184]: https connecting
2016.04.08 12:15:46 LOG7[4224:1184]: connect_wait: waiting 10 seconds
2016.04.08 12:15:46 LOG7[4224:1184]: connect_wait: connected
2016.04.08 12:15:46 LOG7[4224:1184]: Remote FD=512 initialized
2016.04.08 12:15:46 LOG7[4224:1184]: TCP_NODELAY option set on remote socket
2016.04.08 12:15:46 LOG7[4224:1184]: add ssl read socket to pool
2016.04.08 12:15:46 LOG7[4224:1184]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.04.08 12:15:46 LOG7[4224:1184]: Enter pool section on transfer
2016.04.08 12:15:47 LOG7[4224:1184]: SSPI_read start
2016.04.08 12:15:47 LOG7[4224:1184]: recv ok on SSPI_read err= 0
2016.04.08 12:15:47 LOG3[4224:1184]: recv return 0 and ask more but there is not complete data for decrypt
2016.04.08 12:15:47 LOG5[4224:1184]: SSPI_read: read socket closed
2016.04.08 12:15:47 LOG7[4224:1184]: Socket write shutdown
2016.04.08 12:15:47 LOG7[4224:1184]: c->ssl_ptr = 0
2016.04.08 12:15:47 LOG7[4224:1184]: Enter pool section on transfer
2016.04.08 12:15:47 LOG7[4224:1184]: Socket closed on read
2016.04.08 12:15:47 LOG7[4224:1184]: SSL write shutdown
2016.04.08 12:15:47 LOG7[4224:1184]: Enter pool section on transfer
2016.04.08 12:15:47 LOG5[4224:1184]: 11 bytes of close_notify data sent
2016.04.08 12:15:47 LOG6[4224:1184]: SSL_shutdown successfully sent close_notify
2016.04.08 12:15:47 LOG5[4224:1184]: Connection closed: 0 bytes sent to SSL, 0 bytes sent to socket
2016.04.08 12:15:47 LOG7[4224:1184]: free Buffers
2016.04.08 12:15:47 LOG7[4224:1184]: delete c->hContext
2016.04.08 12:15:47 LOG5[4224:1184]: incomp_mess = 1, extra_data = 0
2016.04.08 12:15:47 LOG7[4224:1184]: https finished (0 left)
Вверх
Offline Zzzzybr  
#13 Оставлено : 21 мая 2016 г. 14:20:38(UTC)
Zzzzybr

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.05.2016(UTC)
Сообщений: 1
Никак не получается настроить stunnel.
ОС Windows Server 2012 R2 Standard
CSP 3.9 КС1
stunnel win32 - так как win64 отказывается запускаться.

stunnel настраивал по инструкции https://www.cryptopro.ru/sites/d...guidestunnel_windows.pdf за исключением того что сертификаты я установил в хранилище текущего пользователя. stunnel так же запускается под текущем пользователем.
первоначально сертификат устанавливал как написано в инструкции в хранилище "локальный компьютер", но это не привело к ожидаемому результату.

Результат КриптоПРО CSP-Сервис-Протестировать-По сертификату
Код:

Проверка завершена успешно     	ошибок не обнаружено
Контейнер закрытого ключа      	
  имя                          	RaUser-4ee8b20e-22ff-416b-af55-2a83ea62918f - user
  уникальное имя               	REGISTRY\\RaUser-4ee8b20e-22ff-416b-af55-2a83ea62918f - user
  FQCN                         	\\.\REGISTRY\RaUser-4ee8b20e-22ff-416b-af55-2a83ea62918f - user
  проверка целостности контейнера 	успешно
Ключ обмена                    	доступен
  экспорт открытого ключа      	успешно
  импорт открытого ключа       	успешно
  подпись                      	успешно
  проверка                     	успешно
  создание ключа обмена        	успешно
  экспорт ключа                	разрешен
  алгоритм                     	ГОСТ Р 34.10-2001 DH
                               	ГОСТ Р 34.10-2001, параметры обмена по умолчанию
                               	ГОСТ Р 34.11-94, параметры по умолчанию
  сертификат в контейнере      	соответствует закрытому ключу
  сертификат в хранилище       	My
                               	  E=cs@bki-okb.ru, C=RU, L=Москва, O=ЗАО ОКБ, CN=Тестовый пользователь 2016, T=Тестовый пользователь
                               	      REGISTRY\\RaUser-4ee8b20e-22ff-416b-af55-2a83ea62918f - user; Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider#75; dwFlags: 0x00000000; dwKeySpec: 1
  имя сертификата              	Тестовый пользователь 2016
  субъект                      	E=cs@bki-okb.ru, C=RU, L=Москва, O=ЗАО ОКБ, CN=Тестовый пользователь 2016, T=Тестовый пользователь
  поставщик                    	E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
  действителен с               	11 апреля 2016 г. 13:53:00
  действителен по              	11 апреля 2021 г. 14:03:00
  ключ действителен с          	11 апреля 2016 г. 13:53:00
  ключ действителен по         	11 апреля 2017 г. 13:53:00
  серийный номер               	6971 0193 000E 0001 AB0D
Ключ подписи                   	отсутствует
  загрузка ключей              	успешно
Расширения контейнера          	
  некритическое                	Расширение контейнера КриптоПро CSP. Доверенные сертификаты обмена
  имя сертификата              	УЦ KPИПTO-ПPO
  субъект                      	E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
  поставщик                    	E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
  действителен с               	9 сентября 2015 г. 19:01:35
  действителен по              	9 сентября 2030 г. 19:01:35
  серийный номер               	6A7C 8875 38F2 CD8B 4126 FF8E 40C3 DDBA


конфиг stunnel:
Код:

output = c:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
client = yes
[ocb_test]
accept = localhost:5000
connect = test.rb-ei.com:443
cert = C:\stunnel\cert\test_ocb_2016.cer
verify = 2


лог:
Код:

2016.05.21 14:14:26 LOG5[224:2876]: stunnel 4.18 on x86-pc-unknown
2016.05.21 14:14:26 LOG5[224:2876]: Threading:WIN32 Sockets:SELECT,IPv6
2016.05.21 14:14:26 LOG5[224:2876]: No limit detected for the number of clients
2016.05.21 14:14:26 LOG7[224:2876]: FD 408 in non-blocking mode
2016.05.21 14:14:26 LOG7[224:2876]: SO_REUSEADDR option set on accept socket
2016.05.21 14:14:26 LOG7[224:2876]: ocb_test bound to ::1:5000
2016.05.21 14:14:26 LOG7[224:2876]: ocb_test accepted FD=412 from ::1:49282
2016.05.21 14:14:26 LOG7[224:2876]: Creating a new thread
2016.05.21 14:14:26 LOG7[224:2876]: New thread created
2016.05.21 14:14:26 LOG7[224:2568]: client start
2016.05.21 14:14:26 LOG7[224:2568]: ocb_test started
2016.05.21 14:14:26 LOG7[224:2568]: FD 412 in non-blocking mode
2016.05.21 14:14:26 LOG7[224:2568]: TCP_NODELAY option set on local socket
2016.05.21 14:14:26 LOG5[224:2568]: ocb_test connected from ::1:49282
2016.05.21 14:14:26 LOG7[224:2568]: FD 484 in non-blocking mode
2016.05.21 14:14:26 LOG7[224:2568]: ocb_test connecting 
2016.05.21 14:14:26 LOG7[224:2568]: connect_wait: waiting 10 seconds
2016.05.21 14:14:26 LOG7[224:2568]: connect_wait: connected
2016.05.21 14:14:26 LOG7[224:2568]: Remote FD=484 initialized
2016.05.21 14:14:26 LOG7[224:2568]: TCP_NODELAY option set on remote socket
2016.05.21 14:14:26 LOG7[224:2568]: start SSPI connect
2016.05.21 14:14:26 LOG5[224:2568]: try to read the client certificate
2016.05.21 14:14:26 LOG7[224:2568]: open file C:\stunnel\cert\test_ocb_2016.cer with certificate
2016.05.21 14:14:26 LOG3[224:2568]: Credentials complete
2016.05.21 14:14:26 LOG7[224:2568]: 130 bytes of handshake data sent
2016.05.21 14:14:26 LOG5[224:2568]: 1184 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:26 LOG5[224:2568]: 210 bytes of handshake data sent
2016.05.21 14:14:26 LOG5[224:2568]: 31 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:26 LOG5[224:2568]: Handshake was successful
2016.05.21 14:14:26 LOG5[224:2568]: PerformClientHandshake finish 
2016.05.21 14:14:26 LOG5[224:2568]: Server subject: E
2016.05.21 14:14:26 LOG5[224:2568]: Server issuer: E
2016.05.21 14:14:26 LOG5[224:2568]: Protocol: TLS1
2016.05.21 14:14:26 LOG5[224:2568]: Cipher: Gost 28147-89
2016.05.21 14:14:26 LOG5[224:2568]: Cipher strength: 256
2016.05.21 14:14:26 LOG5[224:2568]: Hash: Gost R 34.11-94
2016.05.21 14:14:26 LOG5[224:2568]: Hash strength: 256
2016.05.21 14:14:26 LOG5[224:2568]: Key exchange: 0xaa25
2016.05.21 14:14:26 LOG5[224:2568]: Key exchange strength: 512
2016.05.21 14:14:26 LOG7[224:2568]: Handshake_done
2016.05.21 14:14:26 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:26 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:26 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG7[224:2568]: data reciev from socket = 445
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=445,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG5[224:2568]: SSPI_write start
2016.05.21 14:14:29 LOG7[224:2568]: SSPI_write data  is GET 
2016.05.21 14:14:29 LOG7[224:2568]: send all data after encrypt
2016.05.21 14:14:29 LOG7[224:2568]: data send to ssl_socket =445
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG7[224:2568]: SSPI_read start
2016.05.21 14:14:29 LOG7[224:2568]: recv ok on SSPI_read err= 13
2016.05.21 14:14:29 LOG5[224:2568]: Received 13  bytes from ssl socket
2016.05.21 14:14:29 LOG5[224:2568]: Client request RENEGOTIATE
2016.05.21 14:14:29 LOG5[224:2568]: 115 bytes of handshake data sent
2016.05.21 14:14:29 LOG5[224:2568]: 1380 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:29 LOG5[224:2568]: 864 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:29 LOG5[224:2568]: 1341 bytes of handshake data sent
2016.05.21 14:14:29 LOG5[224:2568]: 35 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:29 LOG5[224:2568]: Handshake was successful
2016.05.21 14:14:29 LOG7[224:2568]: Zerro bytes read
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG7[224:2568]: SSPI_read start
2016.05.21 14:14:29 LOG7[224:2568]: recv ok on SSPI_read err= 1402
2016.05.21 14:14:29 LOG5[224:2568]: Received 1402  bytes from ssl socket
2016.05.21 14:14:29 LOG7[224:2568]: SSPI_read data in ssl_buff is HTTP
2016.05.21 14:14:29 LOG7[224:2568]: data read from ssl_sock =1393
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 1393,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: add write socket to poll
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG7[224:2568]: data send to socket = 1393
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer


В результате сервер возвращает ошибку 403 - Forbidden: Access is denied.
А через браузер IE по ссылке https://test.rb-ei.com начинает запрашивать сертификат, и после выбора его входит нормально.
Вверх
Offline Nikolay Batischev  
#14 Оставлено : 8 июня 2016 г. 16:20:47(UTC)
Николай Батищев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2013(UTC)
Сообщений: 75
Мужчина
Албания
Откуда: Тирана

Сказал «Спасибо»: 3 раз
Поблагодарили: 13 раз в 12 постах
Пришлите результаты
csptest.exe -tlsc -server test.rb-ei.com -port 443 -user(или -cert) "CN=Тестовый пользователь 2016" -verbose
Техническую поддержку оказываем тут
Общие консультации в телеграм
Наша база знаний
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET