Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
9 Страницы«<45678>»
stunnel
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Nikolay.Zykov  
#51 Оставлено : 13 ноября 2018 г. 10:39:00(UTC)
Nikolay.Zykov

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2018(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 1 раз
Stunel не работает. Просьба помочь.

Цитата:
2018.11.13 10:23:00 LOG7[4651:140265955030848]: Created pid file /var/opt/cprocsp/tmp/stunnel_serv.pid
2018.11.13 10:23:00 LOG7[4651:140265955030848]: open file /etc/stunnel/srv.cer with certificate
2018.11.13 10:23:00 LOG5[4651:140265955030848]: CertFindCertificateInStore not find certificate in LOCAL_MACHINE store. Looking at CURRENT_USER
2018.11.13 10:23:00 LOG3[4651:140265955030848]: **** Error 0x80090304 returned by AcquireCredentialsHandle



Цитата:
CentOS Linux release 7.4.1708 (Core)


Цитата:
stunnel 4.18 on x86_64-pc-linux-gnu
Threading:PTHREAD Sockets:POLL,IPv6 Auth:LIBWRAP

Global options
debug = 5
pid = /opt/cprocsp/var/run/stunnel/stunnel.pid
RNDbytes = 64
RNDfile = /dev/urandom
RNDoverwrite = yes
for_hsm = yes|no HSM mode with unix socket auth

Service-level options
cert = /etc/opt/cprocsp/stunnel/stunnel.pem
key = /etc/opt/cprocsp/stunnel/stunnel.pem
session = 300 seconds
TIMEOUTbusy = 300 seconds
TIMEOUTclose = 60 seconds
TIMEOUTconnect = 10 seconds
TIMEOUTidle = 43200 seconds
verify = none



Создаю тестовый сертификат:


Цитата:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=server' -cont '\\.\HDIMAGE\srv_container' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv


Экспортирую:

Цитата:
/opt/cprocsp/bin/amd64/certmgr -export -cont '\\.\HDIMAGE\srv_container' -dest srv.cer



Конфиг:

Цитата:
pid=/var/opt/cprocsp/tmp/stunnel_serv.pid
output=/var/opt/cprocsp/tmp/stunnel_serv.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[https]
accept=172.18.141.121:1502
connect=127.0.0.1:80
cert=/etc/stunnel/srv.cer
verify=1


Лицензия

Цитата:
License validity:
XXXXXXXXXXXXXXXXXXXXXXXX
license - permanent
License type: Client.
Вверх
Offline Дмитрий Пичулин  
#52 Оставлено : 13 ноября 2018 г. 10:52:36(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: Nikolay.Zykov Перейти к цитате
Stunel не работает.

...
Создаю тестовый сертификат:


Цитата:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=server' -cont '\\.\HDIMAGE\srv_container' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv


...

Лицензия

Цитата:
License validity:
XXXXXXXXXXXXXXXXXXXXXXXX
license - permanent
License type: Client.


Серверный сертификат требует серверную лицензию.

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
thanks 1 пользователь поблагодарил pd за этот пост.
Nikolay.Zykov оставлено 15.11.2018(UTC)
Offline Nikolay.Zykov  
#53 Оставлено : 15 ноября 2018 г. 11:28:29(UTC)
Nikolay.Zykov

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2018(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 1 раз
Спасибо, проблему решили. Для тестирования используем ваш тестовый УЦ. Как мы можем сделать, чтобы сертификат отображался в браузере как доверенный? Можно ли его выдать на какой-то определённый домен?

Отредактировано пользователем 15 ноября 2018 г. 11:29:25(UTC)  | Причина: Не указана
Вверх
Offline Дмитрий Пичулин  
#54 Оставлено : 15 ноября 2018 г. 11:33:17(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: Nikolay.Zykov Перейти к цитате
Спасибо, проблему решили. Для тестирования используем ваш тестовый УЦ. Как мы можем сделать, чтобы сертификат отображался в браузере как доверенный? Можно ли его выдать на какой-то определённый домен?

Если проблем с stunnel более нет, лучше создать новую тему по интересующему вопросу.
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline Дмитрий Пичулин  
#55 Оставлено : 3 декабря 2018 г. 15:18:54(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.50-msspi-0.135
Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline irider  
#56 Оставлено : 4 декабря 2018 г. 11:29:50(UTC)
irider

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.12.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread


setgid = stunnel
setuid = stunnel
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
client = yes

[stunnel.nbki]
accept = 192.168.190.131:8181
connect = icrs.nbki.ru:443
verify=2




вот лог

2018.12.04 10:59:37 LOG7[42693:139781806831424]: stunnel.nbki accepted FD=9 from 192.168.190.1:63890
2018.12.04 10:59:37 LOG7[42693:139781806823168]: client start
2018.12.04 10:59:37 LOG7[42693:139781806823168]: stunnel.nbki started
2018.12.04 10:59:37 LOG7[42693:139781806823168]: FD 9 in non-blocking mode
2018.12.04 10:59:37 LOG7[42693:139781806823168]: TCP_NODELAY option set on local socket
2018.12.04 10:59:37 LOG7[42693:139781806823168]: FD 10 in non-blocking mode
2018.12.04 10:59:37 LOG7[42693:139781806823168]: FD 11 in non-blocking mode
2018.12.04 10:59:37 LOG7[42693:139781806823168]: Connection from 192.168.190.1:63890 permitted by libwrap
2018.12.04 10:59:37 LOG5[42693:139781806823168]: stunnel.nbki connected from 192.168.190.1:63890
2018.12.04 10:59:37 LOG7[42693:139781806823168]: FD 14 in non-blocking mode
2018.12.04 10:59:37 LOG7[42693:139781806823168]: stunnel.nbki connecting
2018.12.04 10:59:37 LOG7[42693:139781806823168]: connect_wait: waiting 10 seconds
2018.12.04 10:59:37 LOG7[42693:139781806831424]: Cleaning up the signal pipe
2018.12.04 10:59:37 LOG6[42693:139781806831424]: Child process 42735 finished with code 0
2018.12.04 10:59:37 LOG7[42693:139781806823168]: connect_wait: connected
2018.12.04 10:59:37 LOG7[42693:139781806823168]: Remote FD=14 initialized
2018.12.04 10:59:37 LOG7[42693:139781806823168]: TCP_NODELAY option set on remote socket
2018.12.04 10:59:37 LOG7[42693:139781806823168]: start SSPI connect
2018.12.04 10:59:37 LOG3[42693:139781806823168]: Credentials complete
2018.12.04 10:59:37 LOG7[42693:139781806823168]: 104 bytes of handshake data sent
2018.12.04 10:59:37 LOG5[42693:139781806823168]: 1380 bytes of handshake(in handshake loop) data received.
2018.12.04 10:59:37 LOG5[42693:139781806823168]: 1116 bytes of handshake(in handshake loop) data received.
2018.12.04 10:59:37 LOG5[42693:139781806823168]: 215 bytes of handshake data sent
2018.12.04 10:59:37 LOG5[42693:139781806823168]: 254 bytes of handshake(in handshake loop) data received.
2018.12.04 10:59:37 LOG5[42693:139781806823168]: Handshake was successful
2018.12.04 10:59:37 LOG5[42693:139781806823168]: PerformClientHandshake finish
2018.12.04 10:59:37 LOG5[42693:139781806823168]: Server subject: E=support@nbki.ru, C=RU, S=Moscow, L=Moscow, O=OJSC National Bureau of Credit Histories, OU=IT, CN=icrs.nbki.ru
2018.12.04 10:59:37 LOG5[42693:139781806823168]: Server issuer: E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
2018.12.04 10:59:37 LOG3[42693:139781806823168]: Error 0x20 ((unknown)) returned by CertVerifyCertificateChainPolicy!
2018.12.04 10:59:37 LOG3[42693:139781806823168]: Error 0x20 when validate certificate

2018.12.04 10:59:37 LOG3[42693:139781806823168]: Error 0x8009030e returned by VerifyCertChain
2018.12.04 10:59:37 LOG3[42693:139781806823168]: **** Error 0x8009030e authenticating server credentials!
2018.12.04 10:59:37 LOG5[42693:139781806823168]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2018.12.04 10:59:37 LOG7[42693:139781806823168]: free Buffers
2018.12.04 10:59:37 LOG7[42693:139781806823168]: delete c->hContext
2018.12.04 10:59:37 LOG7[42693:139781806823168]: delete c->hClientCreds
2018.12.04 10:59:37 LOG5[42693:139781806823168]: incomp_mess = 0, extra_data = 1
2018.12.04 10:59:37 LOG7[42693:139781806823168]: stunnel.nbki finished (0 left)


Сертификаты поставил

[root@localhost tmp]# /opt/cprocsp/bin/amd64/certmgr -list -store Root
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

WARNING: Legacy parameter: "-store Root"
=============================================================================
1-------
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Serial : 0x01E3FBF60031A9579540CA4145DB0C179C
SHA1 Hash : 5269538f37d31c44f2ec22941941c864297a3e1a
SubjKeyID : fdf55268ab6b48aa7efb695f722a7a1709b09a37
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 03/08/2018 14:49:15 UTC
Not valid after : 03/08/2033 14:49:15 UTC
PrivateKey Link : No
2-------
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Serial : 0x00DD104EE49490C280E711C10F7871BE9B
SHA1 Hash : ae71dcfac7a211a78f415f5ecbf72986fb673563
SubjKeyID : 06d84904600b6340c01fc6368563b09638e04a9b
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 23/03/2017 11:59:49 UTC
Not valid after : 23/03/2032 11:59:49 UTC
PrivateKey Link : No
3-------
Issuer : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Serial : 0x6A7C887538F2CD8B4126FF8E40C3DDBA
SHA1 Hash : 3b41b9931b7d8bb4fa54850686aabfef0aff7b6f
SubjKeyID : 2f8d57cc878349b0819a7afd46ac1f2704a92558
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 09/09/2015 15:01:35 UTC
Not valid after : 09/09/2030 15:01:35 UTC
PrivateKey Link : No
4-------
Issuer : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Serial : 0x4AAD6F10E49BBBB14BCEA513D2C81E0B
SHA1 Hash : 86ebc03e3b3b14ee4ca70ca5ccd7db30eb80e258
SubjKeyID : 551b514c6edf5065d849e41d9da16ce9d75e6d26
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 12/05/2014 13:33:42 UTC
Not valid after : 12/05/2029 13:33:42 UTC
PrivateKey Link : No
5-------
Issuer : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Serial : 0x0FDD104EE49490BF80E711BE040559F1FE
SHA1 Hash : c8e00fe58abd9bea94d0b8048f53e3e57448a430
SubjKeyID : 72f05086b2809fad0239e0c393160ee2b3a77a26
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 09/03/2017 11:43:24 UTC
Not valid after : 09/03/2032 11:43:24 UTC
PrivateKey Link : No
6-------
Issuer : E=" info@cryptopro.ru", OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Subject : E=" info@cryptopro.ru", OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Serial : 0x01BAD8001EA8179F4EF889B80ECB8DF4
SHA1 Hash : f5361bb7026f815b3dcf02ce70b240f306d6af5e
SubjKeyID : d00fb90e68827687ffd4e50c15aaa2dedb6a79f7
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 01/11/2017 12:59:06 UTC
Not valid after : 01/11/2032 12:59:06 UTC
PrivateKey Link : No
=============================================================================

[ErrorCode: 0x00000000]
Вверх
Offline Дмитрий Пичулин  
#57 Оставлено : 4 декабря 2018 г. 11:34:02(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: irider Перейти к цитате
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread

Подключение "csptestf tlsc" в тех же условиях проходит без ошибок?

Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
Offline irider  
#58 Оставлено : 4 декабря 2018 г. 11:53:55(UTC)
irider

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.12.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: irider Перейти к цитате
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread

Подключение "csptestf tlsc" в тех же условиях проходит без ошибок?



[root@localhost stunnel]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server icrs.nbki.ru -port 443
HDContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 302 Found
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2262:Bad HTTP status.
Error number 0x80092004 (2148081668).
Cannot find object or property.
HttpsGetFile: 0x0000012e
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:806:Error fetching file from server.
Error number 0x12e (302).
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.090 sec
[ErrorCode: 0x0000012e]
Вверх
Offline Дмитрий Пичулин  
#59 Оставлено : 4 декабря 2018 г. 12:27:19(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,496
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 35 раз
Поблагодарили: 466 раз в 333 постах
Автор: irider Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: irider Перейти к цитате
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread

Подключение "csptestf tlsc" в тех же условиях проходит без ошибок?



[root@localhost stunnel]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server icrs.nbki.ru -port 443
HDContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 302 Found
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2262:Bad HTTP status.
Error number 0x80092004 (2148081668).
Cannot find object or property.
HttpsGetFile: 0x0000012e
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:806:Error fetching file from server.
Error number 0x12e (302).
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.090 sec
[ErrorCode: 0x0000012e]

С большой вероятностью ошибка с правами доступа у пользователя stunnel.

Так как, ошибок с проверкой цепочки в случае csptest, работающего от пользователя root, нет, а в случае stunnel, работающего от пользователя stunnel, есть.

Запустите csptestf от пользователя, от которого работает stunnel и убедитесь, что аналогичная ошибка присутствует.

Приведите в порядок окружение пользователя stunnel, тогда всё заработает.





Знания в базе знаний, поддержка в техподдержке
Вверх
WWW
thanks 1 пользователь поблагодарил pd за этот пост.
irider оставлено 04.12.2018(UTC)
Offline irider  
#60 Оставлено : 4 декабря 2018 г. 13:10:20(UTC)
irider

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.12.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: irider Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: irider Перейти к цитате
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread

Подключение "csptestf tlsc" в тех же условиях проходит без ошибок?



[root@localhost stunnel]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server icrs.nbki.ru -port 443
HDContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 302 Found
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2262:Bad HTTP status.
Error number 0x80092004 (2148081668).
Cannot find object or property.
HttpsGetFile: 0x0000012e
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:806:Error fetching file from server.
Error number 0x12e (302).
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.090 sec
[ErrorCode: 0x0000012e]

С большой вероятностью ошибка с правами доступа у пользователя stunnel.

Так как, ошибок с проверкой цепочки в случае csptest, работающего от пользователя root, нет, а в случае stunnel, работающего от пользователя stunnel, есть.

Запустите csptestf от пользователя, от которого работает stunnel и убедитесь, что аналогичная ошибка присутствует.

Приведите в порядок окружение пользователя stunnel, тогда всё заработает.







Спасибо! Убрал для теста
setgid = stunnel
setuid = stunnel
Заработало.
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
9 Страницы«<45678>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2024, Yet Another Forum.NET