Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2018(UTC) Сообщений: 2 
|
Не устанавливается в качестве службы Windows. Перепробовал все варианты и комбинации, прочитал ВЕСЬ форму по ключевому слову stunnel. https://github.com/deemr...-0.106_windows-amd64.zip(пробовал и 32-битную тоже) Windows Server 1607 сборка 14393.2189 CryptoPRO CSP 4.0 R4 и 5 в триальном режиме Если запустить stunnel-msspi-cli.exe без параметров, все работает как надо. В режим службы - не хочет. Цитата:C:\Program Files (x86)\stunnel>stunnel-msspi-cli.exe -install
[ ] Running on Windows 6.2
[ ] No limit detected for the number of clients
[.] stunnel 5.48 on x86-pc-msvc-1900 platform
[.] Compiled/running with OpenSSL 1.0.2o 27 Mar 2018
[.] Threading:WIN32 Sockets:SELECT,IPv6 TLS:ENGINE,OCSP,PSK,SNI
[ ] errno: (*_errno())
[ ] Running on Windows 6.2
[.] Reading configuration from file -install
[!] Cannot open configuration file
[.]
[.] Syntax:
[.] stunnel [ [-install | -uninstall | -start | -stop | -reload | -reopen | -exit] [-quiet] [<filename>] ] | -help | -version | -sockets | -options
[.] <filename> - use specified config file
[.] -install - install NT service
[.] -uninstall - uninstall NT service
[.] -start - start NT service
[.] -stop - stop NT service
[.] -reload - reload configuration for NT service
[.] -reopen - reopen log file for NT service
[.] -exit - exit an already started stunnel
[.] -quiet - don't display message boxes
[.] -help - get config file help
[.] -version - display version and defaults
[.] -sockets - display default socket options
[.] -options - display supported TLS options
[ ] Deallocating section defaults
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Алексей Шачнев  В режим службы - не хочет. Как определили, что не хочет? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 19.08.2018(UTC) Сообщений: 2
|
Путем запуска команды stunnel-msspi-cli.exe -install из консоли с повышенными привилегиями администратора. Конфигурационный файл пробовал располагать в system32, в SysWOW64, в каталоге программы, пробовал указывать в командной строке путь после -install Служба не создается (при установке обычного stunnel создается). Ответ от программы привел в сообщении выше. Отредактировано пользователем 22 августа 2018 г. 14:46:39(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Алексей Шачнев Путем запуска команды stunnel-msspi-cli.exe -install из консоли с повышенными привилегиями администратора.
Конфигурационный файл пробовал располагать в system32, в SysWOW64, в каталоге программы, пробовал указывать в командной строке путь после -install
Служба не создается (при установке обычного stunnel создается).
Ответ от программы привел в сообщении выше. Почему "-cli" выбрали? Уже было: https://www.cryptopro.ru...ts&m=84522#post84522Используйте "stunnel-msspi.exe -install" |
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2018(UTC) Сообщений: 3 Откуда: Москва Сказал(а) «Спасибо»: 1 раз
|
Дмитрий, добрый день! Не подскажете ли по описанной ниже проблеме? Есть партнер, который хочет к нам подключиться. У них Linux и Крипто-ПРО stunnel из дистрибутива Крипто-ПРО CSP для Linux Со стороны партнера CSP (Type:80) v4.0.9006 KC2 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX. На нашей стороне поднят Windows Stunnel-msspi версии 5.49-msspi-0.133 Суть проблемы - stunnel партнера не может подключиться к нашему stunnel-msspi При этом в логах их stunnel Код:
2018.10.04 11:12:57 LOG7[19688:140518890882816]: 101 bytes of handshake data sent
2018.10.04 11:12:57 LOG3[19688:140518890882816]: ** Error 104 reading data from server
2018.10.04 11:12:57 LOG3[19688:140518890882816]: Error performing handshake
2018.10.04 11:12:57 LOG5[19688:140518890882816]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket
В наших логах Код:
2018.10.04 11:12:57 LOG7[main]: Found 1 ready file descriptor(s)
2018.10.04 11:12:57 LOG7[main]: FD=472 ifds=r-x ofds=---
2018.10.04 11:12:57 LOG7[main]: Service [https] accepted (FD=2072) from ИП-партнера:17592
2018.10.04 11:12:57 LOG7[main]: Creating a new thread
2018.10.04 11:12:57 LOG7[main]: New thread created
2018.10.04 11:12:57 LOG7[231]: Service [https] started
2018.10.04 11:12:57 LOG7[231]: Setting local socket options (FD=2072)
2018.10.04 11:12:57 LOG7[231]: Option TCP_NODELAY set on local socket
2018.10.04 11:12:57 LOG5[231]: Service [https] accepted connection from ИП-партнера:17592
2018.10.04 11:12:57 LOG6[231]: Peer certificate required
2018.10.04 11:12:57 LOG3[231]: SSL_accept: Peer suddenly disconnected
2018.10.04 11:12:57 LOG5[231]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2018.10.04 11:12:57 LOG7[231]: Local descriptor (FD=2072) closed
2018.10.04 11:12:57 LOG7[231]: Service [https] finished (0 left)
По результатам просмотра сетевым анализатором было выявлено - партнер делает Client Hello с TLS v.1.0 после чего наш сервер рвет соединение (что, вообще говоря, наверно правильно, т.к. протокол признан уязвимым) Пробовали в порядке отладки снизить "толерантность" и убирать из нашего конфига stunnel-msspi строчку sslversion=TLSv1.2 (поведение не меняется) либо пробовать включить в режим sslversion=TLSv1.0 (вообще не стартует) - ничего не помогает Партнеру удалось с тем же сертификатом поднять stunnel-msspi на Windows-системе и с нее коннект проходит абсолютно нормально по TLS v.1.2 Но нужно на Linux-е с их стороны. Партнер уже решился на установку Stunnel-msspi на свой линукс, но им нужен RPM-пакет (deb не устраивает), а из исходников не собирается В связи с чем вопросы: - Крипто-ПРО stunnel в составе дистрибутивов и stunnel-msspi - чем-то отличаются?
- В связи с чем может stunnel из состава дистрибутива стучаться по TLS v.1.0?
- Есть ли возможость сделать сборку RPM-пакета stunnel-msspi?
Заранее спасибо!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Pichuzhkin Victor Есть партнер, который хочет к нам подключиться. У них Linux и Крипто-ПРО stunnel из дистрибутива Крипто-ПРО CSP для Linux
Со стороны партнера CSP (Type:80) v4.0.9006 KC2 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.
На нашей стороне поднят Windows Stunnel-msspi версии 5.49-msspi-0.133
Суть проблемы - stunnel партнера не может подключиться к нашему stunnel-msspi
...
По результатам просмотра сетевым анализатором было выявлено - партнер делает Client Hello с TLS v.1.0 после чего наш сервер рвет соединение (что, вообще говоря, наверно правильно, т.к. протокол признан уязвимым)
...
Партнер уже решился на установку Stunnel-msspi на свой линукс, но им нужен RPM-пакет (deb не устраивает), а из исходников не собирается В случае ГОСТ, известных уязвимостей по TLS 1.0 нет, так что особой разницы между TLS 1.0 и 1.2 в случае ГОСТовых сюит нет. Сами утилиты взаимозаменяемые, разница между ними есть, но она не на уровне протокола TLS, за который отвечает исключительно КриптоПро CSP. Поэтому невозможность подключиться с большой вероятностью сохранится при смене приложения. Чтобы в этом убедиться попробуйте подключиться с помощью csptest: Код:csptestf -tlsc -server example.com -port 443 -v
Про RPM: пусть вас не смущает "_deb" в названии, в архиве ".tar.gz" для Unix-систем лежит один бинарный файл приложения stunnel-msspi, без установщика, распаковываете и используете. |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
