Ошибка stunnel при запросе сервиса Штампа Времени Банка России- Page 6

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

7 Страницы«<4 567 >

Ошибка stunnel при запросе сервиса Штампа Времени Банка России

Опции

Предыдущая тема Следующая тема

ИгорьК		#51 Оставлено : 16 декабря 2022 г. 12:16:41(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 11.01.2017(UTC) Сообщений: 23 Откуда: Москва		Вот мне ЦБ ответил INC000008384148 Параметр verify = 2 определяет проверку сертификата сервера в ходе каждого ssl-соединения. Для клиентов рекомендуется параметр verify = 0. В рамках построения защищенного соединения сервер производит первичную аутентификацию с использованием имеющегося сертификата. Данная конфигурация определена ЭД.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Dmitry-G		#52 Оставлено : 16 декабря 2022 г. 12:23:49(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва		Автор: ИгорьК Автор: Dmitry-G А если убрать строчку с указанием сертификата из конфига и перезапустить службу, тоже работает? Наверняка сейчас скажете, что да)) А у нас нет строчки с указанием файла с сертификатом Теперь всё с вами стало окончательно понятно... Всё у вас будет работать ровным счетом до того момента, пока в HKLM не появится очередной сертификат, который Stunnel Service (после очередного своего перезапуска) сочтет более привлекательным для того, чтобы использовать его по умолчанию. Плюс ко всему, в соответствующем контейнере HKLM у вас отсутствует пароль на доступ к секретному ключу - а это уязвимость с точки зрения ИБ.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

basid		#53 Оставлено : 16 декабря 2022 г. 13:45:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 1,071 Сказал(а) «Спасибо»: 7 раз Поблагодарили: 145 раз в 130 постах		Автор: ИгорьК А теперь мы все через Ideco, а он по умолчанию анализирует весь трафик: ему что-то не нравилось в потоке от stunnel и он обрывал соединение. Насколько я понимаю, исходная проблема состоит в том, что ЦБ отдаёт списки отзыва не по HTTP, как оно должно быть, а по ГОСТ-HTTPS. Чтобы анализировать TLS-трафик требуется MiTM, а значит - умение работать со всеми протоколами, которые умеет клиент. Если клиент хочет ГОСТ, а "анализатор" не умеет в ГОСТ, то будет облом. Если сервер идентифицирует клиента по сертификату - облом будет в любом случае.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ew-mc		#54 Оставлено : 16 декабря 2022 г. 15:06:05(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва		Отчитаюсь и я о проделанной работе. Мы тоже научились с помощью Stunnel стабильно подписывать документы через Крипто АРМ и данные через Плагин КриптоПРО. Настроил пока подписание с запущенной службой stunnel от имени Пользователя. Для этого надо выполнить рекомендации Dmitry-G по добавлению в конфиг-файл адреса к личному сертификату и экспорту этого сертификата с помощью КриптоПРО в c:\Stunnel\ Настройкой подписания с запущенной службой stunnel от имени локальной системы займемся позже. Отредактировано пользователем 16 декабря 2022 г. 15:06:49(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ew-mc		#55 Оставлено : 16 декабря 2022 г. 15:25:21(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 12.12.2022(UTC) Сообщений: 10 Откуда: Москва		Автор: basid Автор: ИгорьК А теперь мы все через Ideco, а он по умолчанию анализирует весь трафик: ему что-то не нравилось в потоке от stunnel и он обрывал соединение. Насколько я понимаю, исходная проблема состоит в том, что ЦБ отдаёт списки отзыва не по HTTP, как оно должно быть, а по ГОСТ-HTTPS. Чтобы анализировать TLS-трафик требуется MiTM, а значит - умение работать со всеми протоколами, которые умеет клиент. Если клиент хочет ГОСТ, а "анализатор" не умеет в ГОСТ, то будет облом. Если сервер идентифицирует клиента по сертификату - облом будет в любом случае. Итого констатируем - имеются две НЕзависимые сложности по туннелированию TLS-трафика с помощью Stunnel: 1. Stunnel самостоятельно выбирает используемый личный сертификат если сертификатов в хранилище несколько и в конфиг-файле не задан нужный нам. 2. Сетевым анализаторам может не нравиться TLS-трафик по протоколам ГОСТ-HTTPS и они обрывают соединение.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

private		#56 Оставлено : 16 декабря 2022 г. 16:37:06(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.12.2022(UTC) Сообщений: 4 Откуда: moscow Сказал(а) «Спасибо»: 1 раз		Граждане, пожалуйста, подскажите кратенько хотя бы как сейчас схема работает от и до, бьюсь по вашим наставлениям все равно выдается та же ошибка что и в начале темы дал внешний интернет, выдается 0x80072EFD вся проверка идет через портал5, в настройках штампа времени когда проверку проводишь по https://tsp1.ca.cbr.ru/tsp/tsp.srf используя сертификат выданный ЦБ. при этом если через любой интернет проверять ссылку выше то этот файл tsp.srf не скачивается. пс: какой-то дикий квест от ЦБ если честно. думал подпись сделаю и все, про штампы времени напрочь забыл, а когда вспомнил... и сложно представить что каждому кто работает с порталом нужно таким образом настраивать ПК Отредактировано пользователем 16 декабря 2022 г. 16:42:47(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

ИгорьК		#57 Оставлено : 16 декабря 2022 г. 16:48:00(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 11.01.2017(UTC) Сообщений: 23 Откуда: Москва		Может это поможет (Выдает ошибку 0x80072EFD A connection with the server could not be established) https://www.cryptopro.ru...clid=lbqk9xr14v535695176


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Dmitry-G		#58 Оставлено : 16 декабря 2022 г. 18:22:23(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва		Автор: private Граждане, пожалуйста, подскажите кратенько хотя бы как сейчас схема работает от и до, бьюсь по вашим наставлениям все равно выдается та же ошибка что и в начале темы дал внешний интернет, выдается 0x80072EFD вся проверка идет через портал5, в настройках штампа времени когда проверку проводишь по https://tsp1.ca.cbr.ru/tsp/tsp.srf используя сертификат выданный ЦБ. при этом если через любой интернет проверять ссылку выше то этот файл tsp.srf не скачивается. пс: какой-то дикий квест от ЦБ если честно. думал подпись сделаю и все, про штампы времени напрочь забыл, а когда вспомнил... и сложно представить что каждому кто работает с порталом нужно таким образом настраивать ПК Добрый день! Все проблемы здесь решены и все необходимые ответы в наличии - просто прочитайте внимательно всю текущую ветку и выполните ВСЕ представленные здесь рекомендации.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Dmitry-G		#59 Оставлено : 16 декабря 2022 г. 18:45:30(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 08.12.2022(UTC) Сообщений: 17 Откуда: Москва		Автор: private Граждане, пожалуйста, подскажите кратенько хотя бы как сейчас схема работает от и до, бьюсь по вашим наставлениям все равно выдается та же ошибка что и в начале темы дал внешний интернет, выдается 0x80072EFD вся проверка идет через портал5, в настройках штампа времени когда проверку проводишь по https://tsp1.ca.cbr.ru/tsp/tsp.srf используя сертификат выданный ЦБ. при этом если через любой интернет проверять ссылку выше то этот файл tsp.srf не скачивается. пс: какой-то дикий квест от ЦБ если честно. думал подпись сделаю и все, про штампы времени напрочь забыл, а когда вспомнил... и сложно представить что каждому кто работает с порталом нужно таким образом настраивать ПК Забыл сказать, еще кажется буквально этим летом мы на обозначенном портале5 ("Биврёсте") безрезультатно пытались настроить работу с МЧД и метками времени при использовании предлагаемого там плагина. Официальный ответ БР на тот момент приблизительно был такой: Плагин пока что не работает, соответствующие проблемы решают разработчики КриптоПро и Валидаты, сроки устранения проблемы - неопределенные. Так что я бы на Вашем месте для начала настроил бы адекватное прохождение теста "CAdES-X Long Type 1" с использованием TSP и OCSP ответов серверов БР на странице https://www.cryptopro.ru.../cades_xlong_sample.html (по описаниям в данной ветке), затем бы настроил подписание в ручном режиме по стандарту "CAdES-X Long Type 1" с помощью КриптоАРМ ГОСТ, а уже потом бы думал о том, как все это "прикрутить" к Биврёсту. В конце концов, Биврёст прекрасно принимает файлы, подписанные с помощью стороннего ПО. Плюс скачайте необходимые инструкции: 1. Инструкция от АУЦ БР по подключению к серверам TSP и OCSP: http://cbr.ru/certificat...ostoveryayuschego_centra 2. Инструкция по Stunnel с сайта КриптоПро. Отредактировано пользователем 16 декабря 2022 г. 19:20:13(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

private		#60 Оставлено : 20 декабря 2022 г. 17:30:13(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 16.12.2022(UTC) Сообщений: 4 Откуда: moscow Сказал(а) «Спасибо»: 1 раз		Автор: Dmitry-G Автор: private Граждане, пожалуйста, подскажите кратенько хотя бы как сейчас схема работает от и до, бьюсь по вашим наставлениям все равно выдается та же ошибка что и в начале темы дал внешний интернет, выдается 0x80072EFD вся проверка идет через портал5, в настройках штампа времени когда проверку проводишь по https://tsp1.ca.cbr.ru/tsp/tsp.srf используя сертификат выданный ЦБ. при этом если через любой интернет проверять ссылку выше то этот файл tsp.srf не скачивается. пс: какой-то дикий квест от ЦБ если честно. думал подпись сделаю и все, про штампы времени напрочь забыл, а когда вспомнил... и сложно представить что каждому кто работает с порталом нужно таким образом настраивать ПК Забыл сказать, еще кажется буквально этим летом мы на обозначенном портале5 ("Биврёсте") безрезультатно пытались настроить работу с МЧД и метками времени при использовании предлагаемого там плагина. Официальный ответ БР на тот момент приблизительно был такой: Плагин пока что не работает, соответствующие проблемы решают разработчики КриптоПро и Валидаты, сроки устранения проблемы - неопределенные. Так что я бы на Вашем месте для начала настроил бы адекватное прохождение теста "CAdES-X Long Type 1" с использованием TSP и OCSP ответов серверов БР на странице https://www.cryptopro.ru.../cades_xlong_sample.html (по описаниям в данной ветке), затем бы настроил подписание в ручном режиме по стандарту "CAdES-X Long Type 1" с помощью КриптоАРМ ГОСТ, а уже потом бы думал о том, как все это "прикрутить" к Биврёсту. В конце концов, Биврёст прекрасно принимает файлы, подписанные с помощью стороннего ПО. Плюс скачайте необходимые инструкции: 1. Инструкция от АУЦ БР по подключению к серверам TSP и OCSP: http://cbr.ru/certificat...ostoveryayuschego_centra 2. Инструкция по Stunnel с сайта КриптоПро. по адресу https://www.cryptopro.ru.../cades_xlong_sample.html так и не удалось в итоге, под прокси бьет одну ошибку, как в этой новости 0x80072EE2, под внешним инетом другую 0x80072EFD (1 в 1 как в портале5) по логам непонятно ничего 2022.12.20 12:40:42 LOG5[23164:23136]: stunnel 4.18 on x86-pc-unknown 2022.12.20 12:40:42 LOG5[23164:23136]: Threading:WIN32 Sockets:SELECT,IPv6 2022.12.20 12:40:42 LOG5[23164:23136]: No limit detected for the number of clients 2022.12.20 12:40:42 LOG7[23164:23136]: FD 312 in non-blocking mode 2022.12.20 12:40:42 LOG7[23164:23136]: SO_REUSEADDR option set on accept socket 2022.12.20 12:40:42 LOG7[23164:23136]: tls1-client-https-1 bound to 127.0.0.1:10001 2022.12.20 12:40:42 LOG7[23164:23136]: FD 316 in non-blocking mode 2022.12.20 12:40:42 LOG7[23164:23136]: SO_REUSEADDR option set on accept socket 2022.12.20 12:40:42 LOG7[23164:23136]: tls1-client-https-2 bound to 127.0.0.1:10002 2022.12.20 12:50:10 LOG5[23592:28668]: stunnel 4.18 on x86-pc-unknown 2022.12.20 12:50:10 LOG5[23592:28668]: Threading:WIN32 Sockets:SELECT,IPv6 2022.12.20 12:50:10 LOG5[23592:28668]: No limit detected for the number of clients 2022.12.20 12:50:10 LOG7[23592:28668]: FD 304 in non-blocking mode 2022.12.20 12:50:10 LOG7[23592:28668]: SO_REUSEADDR option set on accept socket 2022.12.20 12:50:10 LOG7[23592:28668]: tls1-client-https-1 bound to 127.0.0.1:10001 2022.12.20 12:50:10 LOG7[23592:28668]: FD 308 in non-blocking mode 2022.12.20 12:50:10 LOG7[23592:28668]: SO_REUSEADDR option set on accept socket 2022.12.20 12:50:10 LOG7[23592:28668]: tls1-client-https-2 bound to 127.0.0.1:10002 причем все советы учитывал. 17 пост ваш вообще хорошо расписан. пробовал в CMD "C:\Program Files\Crypto Pro\CSP\csptest.exe" -tlsc -server 212.40.208.62 -v вроде пролетает только с 1 ошибкой e:\branches\csp_5_0r2k\branches\csp_5_0r2k_0\csp\samples\csptest\webclient.c:1049:Error authenticating server credentials! Error 0x800b010f: CN-имя сертификата не совпадает с полученным значением. насколько понял не у меня одного, видимо особенность сертификата от ЦБ (кстати у всех сертификат показывает до 2036 года ?) как намекнули в УЦ так вот криво сделано, а реальные сроки ключа только в расписке)) есть мысль с нуля какой-то комп сделать и на нем протестировать. кстати насчет Биврёста, обязательно подписывать КриптоАРМ ГОСТ и почему везде в примерах только он? у нас народ все шифрует только КриптоАРМ 4 и 5, я так полагаю они смогут это делать дальше или всем вдруг надо покупать КриптоАРМ ГОСТ?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

7 Страницы«<4 567 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close