Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 16
|
Автор: pd  Автор: bigsmog88 Выполнил пункт 1 есть какая-то ошибка с проверкой сертификатов сервера и пользователя, но рутовый проверяется успешно.
Пока с этим не разберётесь, переходить к следующим шагам смысла нет, на этом шаге ошибок быть не должно. посмотрите пожалуйста вот этот лог команды 'CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/certmgr -list -chain', не совсем понимаю что ему не нравится, т.е. рут сертификат нормально проверен, а остальные им же подписанные нет.  log_cert.txt (11kb) загружен 2 раз(а).Отредактировано пользователем 1 марта 2024 г. 12:11:32(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,451
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 32 раз
Поблагодарили: 418 раз в 309 постах
|
Автор: bigsmog88 Автор: pd Автор: bigsmog88 Выполнил пункт 1 есть какая-то ошибка с проверкой сертификатов сервера и пользователя, но рутовый проверяется успешно.
Пока с этим не разберётесь, переходить к следующим шагам смысла нет, на этом шаге ошибок быть не должно. посмотрите пожалуйста вот этот лог команды 'CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/certmgr -list -chain', не совсем понимаю что ему не нравится, т.е. рут сертификат нормально проверен, а остальные им же подписанные нет. log_cert.txt (11kb) загружен 2 раз(а). Это уже другая тема, к stunnel отношения не имеет. Лучше создать новую тему и описать как вы создаёте эти сертификаты. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 16
|
Автор: pd Автор: bigsmog88 Выполнил пункт 1 есть какая-то ошибка с проверкой сертификатов сервера и пользователя, но рутовый проверяется успешно.
Пока с этим не разберётесь, переходить к следующим шагам смысла нет, на этом шаге ошибок быть не должно. 1. перевыпустил сертификаты с сайта КриптоПРО, выпустил сертифкат сервера и клиента, 2. взял рут сертификат и сертификаты отзывов КриптоПРО. 3. Установил сертификат клиента с привязкой к ключу, и рут сертификат на ПК клиента 4. установил сертификат сервера с привязкой к ключу My, рут сертификат в ROOT и списки отзывов в CA, на сервер. 5. сделал экспорт сертификатов в DER на сервере и ПК клиента. 6. в конфигах стуннела на ПК клиента и на сервере поменял пути к новым файлам сертификата. 7. перезапустил стуннел на клиенте и на сервере. 8. выполняю команду CP_PRINT_CHAIN_DETAIL=1 /opt/cprocsp/bin/amd64/certmgr -list -chain Ошибок нет, все цепочки удачно проверены. 9. пробую войти по ссылке с ПК клиента на http://localhost:1500 в итоге все равно ошибка во вложении лог собранный CP_PRINT_CHAIN_DETAIL=1 /opt/stunnel/stunnel-msspi /opt/stunnel/stunnel.conf log_cert2.txt (7kb) загружен 0 раз(а).посмотрите пожалуйста. что значит в логе строчка getpeerbyname (local_rfd): Transport endpoint is not connected (107)? потом при дальнейших попытках открыть страницу она не появляется в логе. и еще не понятно что значит Certificate was already used during chain building. There is no valid issuer. ----------- Error chain ----------- Chain status:IS_PARTIAL_CHAIN Revocation reason:unspecified дальше при повторных открытиях веб страницы сертификат так не расписывается как первый раз потом уже просто вот такой лог Код:
2024.03.01 16:39:53 LOG7[5]: Service [server] started
2024.03.01 16:39:53 LOG7[5]: Setting local socket options (FD=16)
2024.03.01 16:39:53 LOG7[5]: Option TCP_NODELAY set on local socket
2024.03.01 16:39:53 LOG5[5]: Service [server] accepted connection from 192.168.1.2:57586
2024.03.01 16:39:53 LOG6[5]: msspi: try open cert = "/opt/stunnel/ssl/msspi/server2.cer" as file
2024.03.01 16:39:53 LOG6[5]: Peer certificate required
2024.03.01 16:39:53 LOG3[5]: SSL_accept
2024.03.01 16:39:53 LOG5[5]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2024.03.01 16:39:53 LOG7[5]: Local descriptor (FD=16) closed
2024.03.01 16:39:53 LOG7[5]: Service [server] finished (0 left)
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 16
|
Автор: pd Автор: bigsmog88 Выполнил пункт 1 есть какая-то ошибка с проверкой сертификатов сервера и пользователя, но рутовый проверяется успешно.
Пока с этим не разберётесь, переходить к следующим шагам смысла нет, на этом шаге ошибок быть не должно. ошибка с прошлыми сертификатами была только в СОС
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,451
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 32 раз
Поблагодарили: 418 раз в 309 постах
|
Автор: bigsmog88 Автор: pd Автор: bigsmog88 Выполнил пункт 1 есть какая-то ошибка с проверкой сертификатов сервера и пользователя, но рутовый проверяется успешно.
Пока с этим не разберётесь, переходить к следующим шагам смысла нет, на этом шаге ошибок быть не должно. ошибка с прошлыми сертификатами была только в СОС Если ошибку победили, значит и stunnel заработает. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 16
|
Автор: pd Автор: bigsmog88 Автор: pd Автор: bigsmog88 Выполнил пункт 1 есть какая-то ошибка с проверкой сертификатов сервера и пользователя, но рутовый проверяется успешно.
Пока с этим не разберётесь, переходить к следующим шагам смысла нет, на этом шаге ошибок быть не должно. ошибка с прошлыми сертификатами была только в СОС Если ошибку победили, значит и stunnel заработает. не заработал. Подскажите, стуннел сервер принимает соединение только от стуннел клиента? Т.е. какое-то приложение которое использует ssl сертификат не может подключиться к серверу? просто например если сделать вот такой конфиг Код:
[server]
client = no
msspi = yes
accept = 2447
connect = 127.0.0.1:2445
verify = 0
cert = /opt/stunnel/ssl/msspi/server3.cer
[client]
client = yes
accept = 2446
connect = 127.0.0.1:2447
verify = 0
и попробовать открыть страницу http://192.168.1.3:2446 то веб страница на которую ссылается стуннел сервер открывается, при этом никакой сертификат не используется клиентом, а если пойти по ссылке https://192.168.1.3:2447 на порт сервера, то все, стуннел уже не пропускает. Ему принципиально что бы соединение было от клиента стуннел? Отредактировано пользователем 7 марта 2024 г. 16:28:56(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,451
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 32 раз
Поблагодарили: 418 раз в 309 постах
|
Автор: bigsmog88 Подскажите, стуннел сервер принимает соединение только от стуннел клиента? Т.е. какое-то приложение которое использует ssl сертификат не может подключиться к серверу? просто например если сделать вот такой конфиг Код:
[server]
client = no
msspi = yes
accept = 2447
connect = 127.0.0.1:2445
verify = 0
cert = /opt/stunnel/ssl/msspi/server3.cer
[client]
client = yes
accept = 2446
connect = 127.0.0.1:2447
verify = 0
и попробовать открыть страницу http://192.168.1.3:2446 то веб страница на которую ссылается стуннел сервер открывается, при этом никакой сертификат не используется клиентом, а если пойти по ссылке http://192.168.1.3:2447 на порт сервера, то все, стуннел уже не пропускает. Ему принципиально что бы соединение было от клиента стуннел? Не принципиально, stunnel -- это инструмент переотправки данных из/в защищённое соединение. Ещё раз внимательнейшим образом перечитайте уже данный вам ответ: https://www.cryptopro.ru...&m=145903#post145903Небольшое пояснение: защищённое соединение -- это TLS. HTTPS -- это HTTP защищённый TLS, но stunnel не обязательно используется только для HTTP протокола. Если у вас HTTP в качестве конечного протокола, то в случае client вы можете зайти на stunnel через браузер в открытом режиме (http://stunnel-client), а в случае сервера в защищённом (https://stunnel-server). |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 16
|
Автор: pd
Если у вас HTTP в качестве конечного протокола, то в случае client вы можете зайти на stunnel через браузер в открытом режиме (http://stunnel-client), а в случае сервера в защищённом (https://stunnel-server).
но в том то и дело, что у меня никак не получается сделать то о чем вы говорите, стуннел отказывается принимать https, за стуннелом у меня nginx который слушает http но это не принципиально, я могу и на https переключить, но мне принципиально что бы ссылка из браузера была https и шла на стуннел, который уже должен перебросить на этот nginx. там у меня опечатка в случае когда мы идем на сервер по httpS:// то стуннел сервер не пропускает. Автор: pd
При работе stunnel в режиме server, он устанавливает защищённое соединение от пользователя на accept (при необходимости запрашивает и проверяет сертификат пользователя), устанавливает незащищённое соединение в сторону connect и при успехе пересылает данные в открытом виде стороне connect.
вот тут у меня не сходится результат с вашими словами, так как при использовании конфига из первого поста ситуация следующая: если nginx слушает http то при открытии ссылки по https://192.168.1.3:2446 страница не открывается, но запрос долетает до nginx и в логе кракозябра, а вот если nginx переключить на прослушивание ssl, то тогда страница открывается и в логе nginx нормальный читаемый лог, т.е. получается, что стуннел сервер выдает на nginx все же шифрованный трафик, который nginx не может понять если слушает не ssl. так же если в блоке сервер сделать accept = 2447 и попробовать открыть страницу по https://192.168.1.3:2447 оставив nginx на прослушивании ssl то страница не открывается, причем запрос даже не долетает до nginx а режется сразу на стуннеле. Отредактировано пользователем 7 марта 2024 г. 17:57:21(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,451
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 32 раз
Поблагодарили: 418 раз в 309 постах
|
Автор: bigsmog88 Автор: pd
Если у вас HTTP в качестве конечного протокола, то в случае client вы можете зайти на stunnel через браузер в открытом режиме (http://stunnel-client), а в случае сервера в защищённом (https://stunnel-server).
но в том то и дело, что у меня никак не получается сделать то о чем вы говорите, стуннел отказывается принимать https, за стуннелом у меня nginx который слушает http но это не принципиально, я могу и на https переключить, но мне принципиально что бы ссылка из браузера была https и шла на стуннел, который уже должен перебросить на этот nginx. там у меня опечатка в случае когда мы идем на сервер по httpS:// то стуннел сервер не пропускает. Автор: pd
При работе stunnel в режиме server, он устанавливает защищённое соединение от пользователя на accept (при необходимости запрашивает и проверяет сертификат пользователя), устанавливает незащищённое соединение в сторону connect и при успехе пересылает данные в открытом виде стороне connect.
вот тут у меня не сходится результат с вашими словами, так как при использовании конфига из первого поста ситуация следующая: если nginx слушает http то при открытии ссылки по https://192.168.1.3:2446 страница не открывается, но запрос долетает до nginx и в логе кракозябра, а вот если nginx переключить на прослушивание ssl, то тогда страница открывается и в логе nginx нормальный читаемый лог, т.е. получается, что стуннел сервер выдает на nginx все же шифрованный трафик, который nginx не может понять если слушает не ssl. так же если в блоке сервер сделать accept = 2447 и попробовать открыть страницу по https://192.168.1.3:2447 оставив nginx на прослушивании ssl то страница не открывается, причем запрос даже не долетает до nginx а режется сразу на стуннеле. К сожалению, у меня не удаётся донести до вас принципы работы оригинального функционала stunnel, но это и не входит в задачи данного форума, поэтому рекомендую обратиться к интернету и разобраться в работе оригинального проекта безотносительно ГОСТ. Как только понимание появится, можем продолжить решать вопросы относительно ГОСТ, если они останутся. Отредактировано пользователем 9 марта 2024 г. 13:47:08(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 16
|
Автор: pd
Как только понимание появится, можем продолжить решать вопросы относительно ГОСТ, если они останутся.
Вы не могли бы написать пример рабочего конфига под такую задачу? Мне кажется это было бы полезно и для других людей кто столкнется с такой же проблемой.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
