Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 21  Откуда: Moscow
|
Добрый день. Сделал туннель между клиентом на windows и сервером на linux. Настройки сервера Код:cert = server.np
pid = /etc/stunnel/server.pid
debug = 7
output = /etc/stunnel/stunnel-server.log
[server]
accept = 443
connect = 10.8.210.29:8080
verify = 0
Настройки клиента Код:debug = 7
output = c:/Users/MyUser/Dev/app/stunnel/client-2012.log
[client]
client = yes
accept = 127.0.0.1:8084
connect = 127.0.0.1:8085
Правильно ли я понимаю что т.к. на стороне сервера стоит verify = 0 то не происходит шифрования трафика от сервера по ГОСТ 2012? Если так, то на чьей стороне (клиента/ сервера) нужно поставить verify=1 (мб и не 1), чтобы трафик шифровался? Так же правильно ли я понимаю что, например, при verify = 1 нужно указывать CApath или CAfile ? откуда мне взять CAfile для сервера, если я полчуал сертификат через ваш тестовый центр?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 21 Откуда: Moscow
|
Добавил в настройки клиента сертификат Код:cert = ClientCert
verify = 2
На стороне сервера тоже добавил Без verify ]в настройках клиента все работает. С ним же клиент выдает ошибку Код:: Option TCP_NODELAY set on remote socket
2017.09.21 12:27:38 LOG7[7]: Remote descriptor (FD=1708) initialized
2017.09.21 12:27:38 LOG6[7]: SNI: sending servername: 127.0.0.1
2017.09.21 12:27:38 LOG6[7]: Peer certificate required
2017.09.21 12:27:38 LOG6[7]: msspi: TLSv1 connected (FF85)
2017.09.21 12:27:38 LOG3[7]: msspi: verify failed (CERT_E_CN_NO_MATCH)
2017.09.21 12:27:38 LOG5[7]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.21 12:27:38 LOG7[7]: Remote descriptor (FD=1708) closed
2017.09.21 12:27:38 LOG7[7]: Local descriptor (FD=1684) closed
2017.09.21 12:27:38 LOG7[7]: Service [client] finished (0 left)
Подскажите пожалуйста, непонятно в чем проблема Отредактировано пользователем 21 сентября 2017 г. 12:36:44(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Eugene_Moiseev1  Без verify ]в настройках клиента все работает.
С ним же
клиент выдает ошибку Вы коннектитесь к 127.0.0.1:8085, смысла делать verify нет. Если же вы коннектитесь к удалённому хосту, например example.com, то сертификат может быть проверен (verify > 0). CERT_E_CN_NO_MATCH означает, что при проверке сертификата произошла ошибка проверки соответствия CN и hostname. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 21 Откуда: Moscow
|
Автор: pd Автор: Eugene_Moiseev1 Без verify ]в настройках клиента все работает.
С ним же
клиент выдает ошибку Вы коннектитесь к 127.0.0.1:8085, смысла делать verify нет. Если же вы коннектитесь к удалённому хосту, например example.com, то сертификат может быть проверен (verify > 0). Тут немного сложнее, хоть это и 127.0.0.1:8085 - это порт коннект к вирутальной машине. поэтому по факту можно считать что это удаленный хост. Цитата:CERT_E_CN_NO_MATCH означает, что при проверке сертификата произошла ошибка проверки соответствия CN и hostname. В моем случае не понял в итоге что нужно поставить в connect?
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
