Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline CarTer  
#1 Оставлено : 30 сентября 2021 г. 11:37:01(UTC)
CarTer

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8

Добрый день!

1. Скачал и установил под Ubuntu desktop 20.04 lts пакет cryptopro csp 4.0.9963-5
Код:
./install_gui.sh


2. При установке выбрал дополнительный модуль stunnel
После установки доустановил пакет cprocsp-rsa-64_4.0.9963-5_amd64.deb для корректного импорта сертификата в формате pfx
Код:
apt-get install ./cprocsp-rsa-64_4.0.9963-5_amd64.deb


3. Импортировал свой сертификат MySert.pfx
Код:
/opt/cprocsp/bin/amd64/certmgr -install -pfx -file /home/antony/MySert.pfx -pin 12345678


4. Импортировал корневой сертификат сервера RServer.cer, к которому я буду подключаться
Код:
/opt/cprocsp/bin/amd64/certmgr -install -store mRoot -file ./RServer.cer


5. Создал конфигурационный файл для запуска stunnel
Код:
pid = /tmp/stunnel.pid
output = /home/antony/stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
foreground = yes

[https]
client = yes
accept  = 8080
connect = 195.159.114.166:6443
verify = 3


6. Запустил stunnel
Код:
/opt/cprocsp/sbin/amd64/stunnel_thread ./stunnel.conf


И при подключении в логах выдается ошибка:
Код:
No error on CertGetCertificateChain
Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
Error 0x800b010f returned by VerifyCertChain
**** Error 0x800b010f authenticating server credentials!
Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket


Подскажите в чем ошибка?

Отредактировано пользователем 5 октября 2021 г. 10:52:39(UTC)  | Причина: Не указана

Offline two_oceans  
#2 Оставлено : 30 сентября 2021 г. 12:09:47(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,351
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 319 раз в 300 постах
Добрый день.
Цитата:
Error ... authenticating server credentials!

Вкратце, когда указываете verify отличное от нуля, тем более 3, нужно задать список сертификатов (либо хранилище сертификатов) сервера, которые будут приниматься. Для теста можно попробовать с verify=0, если соединение пройдет, то настроить список сертификатов.
Offline CarTer  
#3 Оставлено : 30 сентября 2021 г. 12:36:13(UTC)
CarTer

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8

С verify=0 соединение проходит

Сделал экспорт своего сертификата MySert из хранилища
Код:
/opt/cprocsp/bin/amd64/certmgr -export -dest client.cer -cont 'HDIMAGE\\gek86qcu.000\9B30'


Прописал в stunnel.conf cert=./client.cer
Код:
pid = /tmp/stunnel.pid
output = /home/antony/stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
foreground = yes

[https]
client = yes
accept  = 8080
connect = 195.159.114.166:6443
cert = ./client.cer
verify = 2


Ошибка осталась
Offline Александр Лавник  
#4 Оставлено : 30 сентября 2021 г. 12:55:23(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,677
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Здравствуйте.

Судя по ошибке CERT_E_CN_NO_MATCH происходит попытка подключения к серверу, в сертификате которого ни в CN (Common Name), ни в DNS-имени в расширении SAN (Subject Alternative Name) нет используемого в конфигурационном файле stunnel значения:

Код:
connect = 195.159.114.166:6443
Техническую поддержку оказываем тут
Наша база знаний
Offline CarTer  
#5 Оставлено : 30 сентября 2021 г. 13:15:56(UTC)
CarTer

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8

Можно ли как то эту проверку отключить, чтобы убедиться в этой проблеме?
Т.к. в документации про такие нюансы ни чего не сказано.
Offline Александр Лавник  
#6 Оставлено : 30 сентября 2021 г. 13:48:34(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,677
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: CarTer Перейти к цитате
Можно ли как то эту проверку отключить, чтобы убедиться в этой проблеме?
Т.к. в документации про такие нюансы ни чего не сказано.
Попробуйте использовать команду (от root или через sudo):

Код:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long Rfc6125_NotStrict_ServerName_Check 1

для отключения этой проверки (замените 1 на 0 если нужно будет вернуть настройку обратно).
Техническую поддержку оказываем тут
Наша база знаний
Offline CarTer  
#7 Оставлено : 30 сентября 2021 г. 16:32:25(UTC)
CarTer

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8

Цитата:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long Rfc6125_NotStrict_ServerName_Check 1


Все равно появляется ошибка CERT_E_CN_NO_MATCH
Offline Александр Лавник  
#8 Оставлено : 30 сентября 2021 г. 16:49:49(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,677
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: CarTer Перейти к цитате
Цитата:
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long Rfc6125_NotStrict_ServerName_Check 1


Все равно появляется ошибка CERT_E_CN_NO_MATCH
Перезапускали stunnel?

Если используете КриптоПро CSP с провайдером KC2, то нужно перезапустить службу cprocsp, чтобы учесть изменение параметра (от root или через sudo)

Код:
service cprocsp restart
Техническую поддержку оказываем тут
Наша база знаний
Offline CarTer  
#9 Оставлено : 1 октября 2021 г. 10:28:26(UTC)
CarTer

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8

stunnel каждый раз перезапускал
Используеться KC1, попробовал и службу перезапустить
Ошибка осталась

Код:
2021.10.01 00:26:20 LOG5[6858:140622749980416]: No error on CertGetCertificateChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f returned by VerifyCertChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: **** Error 0x800b010f authenticating server credentials!

Offline Александр Лавник  
#10 Оставлено : 1 октября 2021 г. 11:49:25(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 2,677
Мужчина
Российская Федерация

Сказал «Спасибо»: 44 раз
Поблагодарили: 602 раз в 567 постах
Автор: CarTer Перейти к цитате
stunnel каждый раз перезапускал
Используеться KC1, попробовал и службу перезапустить
Ошибка осталась

Код:
2021.10.01 00:26:20 LOG5[6858:140622749980416]: No error on CertGetCertificateChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f returned by VerifyCertChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: **** Error 0x800b010f authenticating server credentials!

Здравствуйте.

Можете приложить серверный сертификат?
Техническую поддержку оказываем тут
Наша база знаний
Offline CarTer  
#11 Оставлено : 1 октября 2021 г. 14:47:24(UTC)
CarTer

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8

Автор: Александр Лавник Перейти к цитате
Автор: CarTer Перейти к цитате
stunnel каждый раз перезапускал
Используеться KC1, попробовал и службу перезапустить
Ошибка осталась

Код:
2021.10.01 00:26:20 LOG5[6858:140622749980416]: No error on CertGetCertificateChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f returned by VerifyCertChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: **** Error 0x800b010f authenticating server credentials!

Здравствуйте.

Можете приложить серверный сертификат?


Отправил в личку
Offline CarTer  
#12 Оставлено : 5 октября 2021 г. 10:50:59(UTC)
CarTer

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8

Проблему удалось решить прописав на клиенте в файле hosts операционной системы, доменное имя указанное в сертификате из поля "Subject Alternative Name" + ip (195.159.114.166)
В конфиге stunnel указываем доменное имя, а не ip

Код:
connect = domane.name:6443



параметра Rfc6125_NotStrict_ServerName_Check -- не работает
Судя по нашему баг-трекеру, возможность использования IP-адреса из SubjectAltName для stunnel будет добавлена только в будущих (пока еще невыпущенных) релизах КриптоПро CSP.
Offline CarTer  
#13 Оставлено : 5 октября 2021 г. 10:52:22(UTC)
CarTer

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8

Все спасибо за помощь
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.