Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

9 Страницы«<789
Опции
К последнему сообщению К первому непрочитанному
Offline pd  
#81 Оставлено : 25 февраля 2021 г. 16:13:12(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Обновление stunnel-msspi на github: https://github.com/Crypt...g/stunnel-5.58-cpro-0.37

Обратите внимание, что stunnel-msspi теперь входит в состав CSP 5.0 R2, поэтому версия stunnel-msspi в составе дистрибутива CSP будет сертифицирована.

Версия на github остаётся НЕ сертифицированной, она предполагает использование в тестовых и исследовательских целях.

Знания в базе знаний, поддержка в техподдержке
Offline pd  
#82 Оставлено : 12 июля 2021 г. 15:07:58(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Обращаем внимание, что сертифицированная версия CSP 5.0 R2 теперь содержит реализацию stunnel-msspi для Windows и большинства UNIX систем: https://www.cryptopro.ru/products/csp/downloads

Таким образом, теперь существует сертифицированная версия stunnel-msspi в рамках дистрибутива CSP 5.0 R2.

Знания в базе знаний, поддержка в техподдержке
Offline derkderk  
#83 Оставлено : 8 декабря 2023 г. 12:05:43(UTC)
derkderk

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.05.2023(UTC)
Сообщений: 3

Автор: pd Перейти к цитате
Автор: NKO SEC Перейти к цитате
Попробуйте у себя построить туннель до https://zoe-lk.fincert.cbr.ru/login

Зачем?

Самая распространённая ошибка при использовании stunnel и http, это обращение в GET запросе к адресу stunnel вместо обращения к целевому адресу.

Целевой адрес, бывает, не понимает такого запроса, так как в нём отсутствует корректный host.

Ваш GET запрос, с большой вероятностью должен содержать host равный zoe-lk.fincert.cbr.ru.

Для решения этой задачи, как правило, на машине, где работает ваше приложение, в /etc/hosts прописывается, что IP-адрес, где работает stunnel, это целевой хост.

После этого приложение обращается к zoe-lk.fincert.cbr.ru, но попадает в stunnel, который уже устанавливает соединение с настоящим zoe-lk.fincert.cbr.ru по защищённому каналу.





Не совсем понятно что нужно прописать в hosts.

Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = lk.fincert.cbr.ru:443
при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request"

Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = 212.40.223.94:443
А в hosts:
127.0.0.2 lk.fincert.cbr.ru
То в логе "verify failed"
Offline pd  
#84 Оставлено : 8 декабря 2023 г. 14:18:16(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Автор: derkderk Перейти к цитате

Не совсем понятно что нужно прописать в hosts.

Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = lk.fincert.cbr.ru:443
при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request"

Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = 212.40.223.94:443
А в hosts:
127.0.0.2 lk.fincert.cbr.ru
То в логе "verify failed"


Если у вас stunnel и клиент на одной машине, значит при добавлении целевого host в hosts уже нет возможности использовать host в connect, так как будете подключаться сами к себе.

Поэтому необходимо дополнительно указать sni для целевого host, например:
Цитата:
connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru


Знания в базе знаний, поддержка в техподдержке
Offline derkderk  
#85 Оставлено : 8 декабря 2023 г. 16:13:31(UTC)
derkderk

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.05.2023(UTC)
Сообщений: 3

Цитата:
connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru


Спасибо, помогло.
Offline Zhukov_AV  
#86 Оставлено : 4 марта 2024 г. 21:03:21(UTC)
Zhukov_AV

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.05.2022(UTC)
Сообщений: 1

Сказал(а) «Спасибо»: 1 раз
Автор: pd Перейти к цитате
Автор: derkderk Перейти к цитате

Не совсем понятно что нужно прописать в hosts.

Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = lk.fincert.cbr.ru:443
при этом в hosts ничего не прописывать, то в логе "verify OK", при этом в браузере "421 Misdirected Request"

Если в конфигурации прописать:
accept = 127.0.0.1:443
connect = 212.40.223.94:443
А в hosts:
127.0.0.2 lk.fincert.cbr.ru
То в логе "verify failed"


Если у вас stunnel и клиент на одной машине, значит при добавлении целевого host в hosts уже нет возможности использовать host в connect, так как будете подключаться сами к себе.

Поэтому необходимо дополнительно указать sni для целевого host, например:
Цитата:
connect = 212.40.223.94:443
sni = lk.fincert.cbr.ru



тоже пытаюсь поднять туннель до финцерт и при добавлении в конфиг sni = lk.fincert.cbr.ru служба не запускается

Offline pd  
#87 Оставлено : 5 марта 2024 г. 1:08:53(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Автор: Zhukov_AV Перейти к цитате

тоже пытаюсь поднять туннель до финцерт и при добавлении в конфиг sni = lk.fincert.cbr.ru служба не запускается


Обратите внимание, в данной теме обсуждается stunnel-msspi, возможно в версии, которую вы используете, нет такой директивы.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
Zhukov_AV оставлено 05.03.2024(UTC)
Offline iddqd345  
#88 Оставлено : 9 марта 2024 г. 15:07:27(UTC)
iddqd345

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.03.2024(UTC)
Сообщений: 1

Добрый день.

Возникла необходимость получить из WinXP доступ к API markirovka.crpt.ru
Насколько я понял читая форум - можно использовать stunnel-msspi, однако я не смог запустить его на XP, хотя вроде бы скачивал версию для x32.
При попытке запуска stunnel_msspi.exe пишет "Точка входа в процедуру InitializeSRWLock не найдена в Kernel32.dll" (версия файла 5.0.499)
Работает ли stunnel_msspi под XP?

Скачал с этого сайта stunnel.win32.exe (версия 5.0.15070)
Он запускается, устанавливается сервис, но не стартует. Пробовал ложить файл конфигурации и в каталог с программой, и в System32 как где-то тут на форуме прочитал. Что-то я делаю не так.
Где можно прочитать докумментацию?

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
9 Страницы«<789
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.