Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

9 Страницы«<34567>»
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#41 Оставлено : 27 ноября 2017 г. 13:13:12(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Обновление stunnel-msspi: https://github.com/deemr.../stunnel-5.44-msspi-0.99

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#42 Оставлено : 27 ноября 2017 г. 13:14:09(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Обновление stunnel-msspi: https://github.com/deemr.../stunnel-5.44-msspi-0.99
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#43 Оставлено : 2 августа 2018 г. 18:35:23(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.48-msspi-0.106

Знания в базе знаний, поддержка в техподдержке
Offline Алексей Шачнев  
#44 Оставлено : 19 августа 2018 г. 21:16:29(UTC)
Алексей Шачнев

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2018(UTC)
Сообщений: 2
Российская Федерация

Не устанавливается в качестве службы Windows.
Перепробовал все варианты и комбинации, прочитал ВЕСЬ форму по ключевому слову stunnel.

https://github.com/deemr...-0.106_windows-amd64.zip

(пробовал и 32-битную тоже)

Windows Server 1607 сборка 14393.2189

CryptoPRO CSP 4.0 R4 и 5 в триальном режиме


Если запустить stunnel-msspi-cli.exe без параметров, все работает как надо. В режим службы - не хочет.






Цитата:
C:\Program Files (x86)\stunnel>stunnel-msspi-cli.exe -install
[ ] Running on Windows 6.2
[ ] No limit detected for the number of clients
[.] stunnel 5.48 on x86-pc-msvc-1900 platform
[.] Compiled/running with OpenSSL 1.0.2o 27 Mar 2018
[.] Threading:WIN32 Sockets:SELECT,IPv6 TLS:ENGINE,OCSP,PSK,SNI
[ ] errno: (*_errno())
[ ] Running on Windows 6.2
[.] Reading configuration from file -install
[!] Cannot open configuration file
[.]
[.] Syntax:
[.] stunnel [ [-install | -uninstall | -start | -stop | -reload | -reopen | -exit] [-quiet] [<filename>] ] | -help | -version | -sockets | -options
[.] <filename> - use specified config file
[.] -install - install NT service
[.] -uninstall - uninstall NT service
[.] -start - start NT service
[.] -stop - stop NT service
[.] -reload - reload configuration for NT service
[.] -reopen - reopen log file for NT service
[.] -exit - exit an already started stunnel
[.] -quiet - don't display message boxes
[.] -help - get config file help
[.] -version - display version and defaults
[.] -sockets - display default socket options
[.] -options - display supported TLS options
[ ] Deallocating section defaults
Offline Дмитрий Пичулин  
#45 Оставлено : 20 августа 2018 г. 0:46:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Автор: Алексей Шачнев Перейти к цитате
В режим службы - не хочет.

Как определили, что не хочет?

Знания в базе знаний, поддержка в техподдержке
Offline Алексей Шачнев  
#46 Оставлено : 22 августа 2018 г. 14:44:57(UTC)
Алексей Шачнев

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2018(UTC)
Сообщений: 2
Российская Федерация

Путем запуска команды stunnel-msspi-cli.exe -install из консоли с повышенными привилегиями администратора.
Конфигурационный файл пробовал располагать в system32, в SysWOW64, в каталоге программы, пробовал указывать в командной строке путь после -install
Служба не создается (при установке обычного stunnel создается).

Ответ от программы привел в сообщении выше.

Отредактировано пользователем 22 августа 2018 г. 14:46:39(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#47 Оставлено : 22 августа 2018 г. 14:51:41(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Автор: Алексей Шачнев Перейти к цитате
Путем запуска команды stunnel-msspi-cli.exe -install из консоли с повышенными привилегиями администратора.
Конфигурационный файл пробовал располагать в system32, в SysWOW64, в каталоге программы, пробовал указывать в командной строке путь после -install
Служба не создается (при установке обычного stunnel создается).

Ответ от программы привел в сообщении выше.

Почему "-cli" выбрали?

Уже было: https://www.cryptopro.ru...ts&m=84522#post84522

Используйте "stunnel-msspi.exe -install"


Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#48 Оставлено : 4 сентября 2018 г. 17:54:24(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.49-msspi-0.133

- Для Unix-систем сменили тип работы потоков с `fork` на `pthread`, теперь стало возможным работать с провайдером КС1 (до этого только КС2)
- Добавили ARM-сборку для Unix
Знания в базе знаний, поддержка в техподдержке
Offline Pichuzhkin Victor  
#49 Оставлено : 7 октября 2018 г. 18:03:30(UTC)
Pichuzhkin Victor

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Дмитрий, добрый день!
Не подскажете ли по описанной ниже проблеме?
Есть партнер, который хочет к нам подключиться. У них Linux и Крипто-ПРО stunnel из дистрибутива Крипто-ПРО CSP для Linux
Со стороны партнера CSP (Type:80) v4.0.9006 KC2 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.
На нашей стороне поднят Windows Stunnel-msspi версии 5.49-msspi-0.133

Суть проблемы - stunnel партнера не может подключиться к нашему stunnel-msspi
При этом в логах их stunnel
Код:

2018.10.04 11:12:57 LOG7[19688:140518890882816]: 101 bytes of handshake data sent
2018.10.04 11:12:57 LOG3[19688:140518890882816]: ** Error 104 reading data from server
2018.10.04 11:12:57 LOG3[19688:140518890882816]: Error performing handshake
2018.10.04 11:12:57 LOG5[19688:140518890882816]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket

В наших логах
Код:

2018.10.04 11:12:57 LOG7[main]: Found 1 ready file descriptor(s)
2018.10.04 11:12:57 LOG7[main]: FD=472 ifds=r-x ofds=---
2018.10.04 11:12:57 LOG7[main]: Service [https] accepted (FD=2072) from ИП-партнера:17592
2018.10.04 11:12:57 LOG7[main]: Creating a new thread
2018.10.04 11:12:57 LOG7[main]: New thread created
2018.10.04 11:12:57 LOG7[231]: Service [https] started
2018.10.04 11:12:57 LOG7[231]: Setting local socket options (FD=2072)
2018.10.04 11:12:57 LOG7[231]: Option TCP_NODELAY set on local socket
2018.10.04 11:12:57 LOG5[231]: Service [https] accepted connection from ИП-партнера:17592
2018.10.04 11:12:57 LOG6[231]: Peer certificate required
2018.10.04 11:12:57 LOG3[231]: SSL_accept: Peer suddenly disconnected
2018.10.04 11:12:57 LOG5[231]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2018.10.04 11:12:57 LOG7[231]: Local descriptor (FD=2072) closed
2018.10.04 11:12:57 LOG7[231]: Service [https] finished (0 left)


По результатам просмотра сетевым анализатором было выявлено - партнер делает Client Hello с TLS v.1.0 после чего наш сервер рвет соединение (что, вообще говоря, наверно правильно, т.к. протокол признан уязвимым)
Пробовали в порядке отладки снизить "толерантность" и убирать из нашего конфига stunnel-msspi строчку sslversion=TLSv1.2 (поведение не меняется) либо пробовать включить в режим sslversion=TLSv1.0 (вообще не стартует) - ничего не помогает

Партнеру удалось с тем же сертификатом поднять stunnel-msspi на Windows-системе и с нее коннект проходит абсолютно нормально по TLS v.1.2
Но нужно на Linux-е с их стороны.
Партнер уже решился на установку Stunnel-msspi на свой линукс, но им нужен RPM-пакет (deb не устраивает), а из исходников не собирается

В связи с чем вопросы:
  • Крипто-ПРО stunnel в составе дистрибутивов и stunnel-msspi - чем-то отличаются?
  • В связи с чем может stunnel из состава дистрибутива стучаться по TLS v.1.0?
  • Есть ли возможость сделать сборку RPM-пакета stunnel-msspi?

Заранее спасибо!
Offline Дмитрий Пичулин  
#50 Оставлено : 7 октября 2018 г. 21:46:22(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,434
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 405 раз в 303 постах
Автор: Pichuzhkin Victor Перейти к цитате
Есть партнер, который хочет к нам подключиться. У них Linux и Крипто-ПРО stunnel из дистрибутива Крипто-ПРО CSP для Linux
Со стороны партнера CSP (Type:80) v4.0.9006 KC2 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.
На нашей стороне поднят Windows Stunnel-msspi версии 5.49-msspi-0.133

Суть проблемы - stunnel партнера не может подключиться к нашему stunnel-msspi

...

По результатам просмотра сетевым анализатором было выявлено - партнер делает Client Hello с TLS v.1.0 после чего наш сервер рвет соединение (что, вообще говоря, наверно правильно, т.к. протокол признан уязвимым)

...

Партнер уже решился на установку Stunnel-msspi на свой линукс, но им нужен RPM-пакет (deb не устраивает), а из исходников не собирается

В случае ГОСТ, известных уязвимостей по TLS 1.0 нет, так что особой разницы между TLS 1.0 и 1.2 в случае ГОСТовых сюит нет.

Сами утилиты взаимозаменяемые, разница между ними есть, но она не на уровне протокола TLS, за который отвечает исключительно КриптоПро CSP.

Поэтому невозможность подключиться с большой вероятностью сохранится при смене приложения. Чтобы в этом убедиться попробуйте подключиться с помощью csptest:

Код:
csptestf -tlsc -server example.com -port 443 -v


Про RPM: пусть вас не смущает "_deb" в названии, в архиве ".tar.gz" для Unix-систем лежит один бинарный файл приложения stunnel-msspi, без установщика, распаковываете и используете.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
Pichuzhkin Victor оставлено 08.10.2018(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
9 Страницы«<34567>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.