Статус: Участник
Группы: Участники
Зарегистрирован: 06.12.2019(UTC) Сообщений: 13  Откуда: Tolyatti Сказал(а) «Спасибо»: 1 раз
|
Здравствуйте. Нужно настроить stunnel на стороне сервера, чтобы сервер запрашивал сертификат клиента. Не могу понять, как указать сертификаты клиентов, которым можно подключаться к серверу. Пример stunnel.conf: [gost] client = no accept = host:4430 connect = host:80 cert = 26009fffd5bfa4a3921730763b2d30d5b18b37a1 CApath = /clients verifyPeer = yes requireCert = yes Подскажите, в каком формате должны находиться сертификаты КЭПов в каталоге /clients ? В документации stunnel (https://www.stunnel.org/static/stunnel.html) указано что сертификаты должны называться в формате XXXXXXXX.r0. Но с помощью c_rehash не получилось получить эти имена. Подскажите, пожалуйста, как указать в stunnel сертификаты КЭП клиентов? Отредактировано пользователем 26 августа 2020 г. 12:41:42(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Alexandertlt  Здравствуйте. Нужно настроить stunnel на стороне сервера, чтобы сервер запрашивал сертификат клиента.
Не могу понять, как указать сертификаты клиентов, которым можно подключаться к серверу.
Пример stunnel.conf:
[gost]
client = no
accept = host:4430
connect = host:80
cert = 26009fffd5bfa4a3921730763b2d30d5b18b37a1
CApath = /clients
verifyPeer = yes
requireCert = yes
Подскажите, в каком формате должны находиться сертификаты КЭПов в каталоге /clients ?
В документации stunnel (https://www.stunnel.org/static/stunnel.html) указано что сертификаты должны называться в формате XXXXXXXX.r0.
Но с помощью c_rehash не получилось получить эти имена.
Подскажите, пожалуйста, как указать в stunnel сертификаты КЭП клиентов? Работа идёт исключительно с хранилищами сертификатов КриптоПро CSP, не с файлами на диске. Например, CApath = TrustedPeople означает, что у вас есть готовое хранилище сертификатов с именем TrustedPeople, в котором лежат сертификаты пользователей, которым разрешён вход. Если CApath не указан, проверка пользовательских сертификатов происходит по цепочке до доверенного издателя в штатном хранилище корневых сертификатов root. Отредактировано пользователем 26 августа 2020 г. 14:28:47(UTC)
| Причина: Не указана |
|
 1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.12.2019(UTC) Сообщений: 13 Откуда: Tolyatti Сказал(а) «Спасибо»: 1 раз
|
Спасибо! Совет помог. Заработало! 
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Как интересно. По названию параметра предполагал, что разрешение распространяется на все сертификатов определенного УЦ. А оказывается можно одной группе сертификатов (в указанном хранилище) разрешить вход, а другим сертификатам, выданным тем же УЦ, отказать? Или возможны оба сценария (разрешить всем от одного издателя и разрешить выборочно от одного издателя), тогда как настроить? Зависит от того сертификат УЦ в хранилище или конечный сертификат? Отредактировано пользователем 27 августа 2020 г. 5:41:00(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: two_oceans Как интересно. По названию параметра предполагал, что разрешение распространяется на все сертификатов определенного УЦ. А оказывается можно одной группе сертификатов (в указанном хранилище) разрешить вход, а другим сертификатам, выданным тем же УЦ, отказать? Или возможны оба сценария (разрешить всем от одного издателя и разрешить выборочно от одного издателя), тогда как настроить? Зависит от того сертификат УЦ в хранилище или конечный сертификат? Не совсем, базовая проверка до доверенного корня происходит всегда (если проверка активна verify != 0). Если указан CApath, сертификат будет дополнительно проверен на вхождение в хранилище сертификатов CApath. Есть ещё альтернативный путь проверки по списку, через параметры checkSubject/checkIssuer. Это строки в формате X.500 (RFC 2253, CERT_X500_NAME_STR) их может быть больше одной в конфигурации, получается тоже список доступа, но без сопоставления сертификатов побайтно, что может быть более удобно, так как перевыпуск сертификата не повлияет на доступ, ибо subject/issuer останутся неизменными. |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 396 раз в 366 постах
|
Автор: pd Не совсем, базовая проверка до доверенного корня происходит всегда (если проверка активна verify != 0). Если указан CApath, сертификат будет дополнительно проверен на вхождение в хранилище сертификатов CApath. То есть берется объединение множеств допущенных базовой проверкой и CApath проверкой? Правильно понимаю? Тогда теоретически можно войти и сертификатами от всех аккредитованных УЦ (когда установлен сертификат Минкомсвязи в корневые) и сертификатами от всех штатных корневых УЦ из поставки Windows. Смысл проверки резко снижается, если можно войти вообще любым действительным сертификатом. Выходит, чтобы работал только CApath надо заведомо "провалить" базовую проверку? Хотелось бы иметь возможность запретить часть прошедших базовую проверку для конкретного соединения. Как минимум запретить не гост-2012 сертификаты из поставки Windows.
Конкретный пример: есть защищенный Vipnet координатором канал до некого ресурса, сам ресурс по http. Есть соглашение, по которому мы обязаны "не допустить", чтобы кроме наших сотрудников кто-то имел доступ к каналу. При этом есть наш отдел в отдельном здании, там тот же провайдер Интернета и нужно использовать тот же ресурс, но нет доступа к адресам основной сети.
Сейчас мы поднимаем шифрованное штатное VPN соединение Windows с рабочих мест подразделения к основной сети. Что проблематично - сотрудники забывают его включать; бывает сервер закрывает соединение, но на клиенте оно еще считается подключенным; вообще не очень безопасно держать открытым VPN на внешнем IP.
Изучали про новейшие функции Майкрософт соединения корпоративных сетей (по сути та же VPN, но между серверами двух мест), но вот беда они требуют обязательного IPv6, а провайдер IPv6 гасит на своем оборудовании. Поэтому думали на заменой VPN на криптотуннель для конкретного порта по гост-2012. Однако если нельзя отфильтровать только "своих", то это не вариант для такой задачи.
Цитата:Есть ещё альтернативный путь проверки по списку, через параметры checkSubject/checkIssuer. Если это тоже работает в дополнение к базовой проверке, то берется пересечение или объединение множеств? Цитата:перевыпуск сертификата не повлияет на доступ, ибо subject/issuer останутся неизменными Может поменяться порядок компонент, если сменился экземпляр/шаблоны УЦ (многие аккредитованные УЦ делают новые экземпляры УЦ ежегодно, прекращая выпуск конечных сертификатов на "прошлогоднем" экземпляре). У разных УЦ точно разный порядок компонент. Сертификаты разных назначений также могут отличаться по наличию/порядку некоторых компонент. Отдельная тема про кавычки в наименовании организации - УЦ их кодируют совершенно разными строками. Безусловно, это интересный способ, но от замены строк при смене сертификатов скорее всего не спасет, если не выпускать сертификаты на подконтрольном внутреннем УЦ. Вопрос по сравнению - должен совпадать весь список в определенном порядке, совпадать весь список в произвольном порядке или возможен поиск по подстроке (отдельному компоненту)? Для отечественных сертификатов поиск исключительно по огрн/снилс/email был бы интересен. Опять же вопрос как компонент огрн/снилс указывать - латинскими буквами, кириллицей или оидом? Если проверка исключительно кодом Майкрософт, то полагаю порядок компонент важен и огрн/снилс указывать оидом или строкой согласно регистрации оида в реестре.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: two_oceans Если это тоже работает в дополнение к базовой проверке, то берется пересечение или объединение множеств? Во всех случая проверки дополняют друг друга, но не исключают, то есть должны пройти все проверки указанные в конфигурации. Автор: two_oceans Может поменяться порядок компонент... Согласно указанному ранее RFC, subject/issuer указанные в формате X.500 всё таки должны переживать перевыпуск. |
|
1 пользователь поблагодарил pd за этот пост.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
