Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,451
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 32 раз
Поблагодарили: 418 раз в 309 постах
|
Автор: bigsmog88  Автор: pd
Как только понимание появится, можем продолжить решать вопросы относительно ГОСТ, если они останутся.
Вы не могли бы написать пример рабочего конфига под такую задачу? Мне кажется это было бы полезно и для других людей кто столкнется с такой же проблемой. Предположим: - отпечаток SHA1 серверного сертификата = "17 6c 35 68 05 89 d6 df ea c4 a2 6c de 1b 88 d4 23 95 01 93" - целевой сервис запущен локально по HTTP на 80 порту - stunnel терминирует HTTPS с проверкой сертификата пользователя Код:
[https-to-local-http]
client = no
cert = 17 6c 35 68 05 89 d6 df ea c4 a2 6c de 1b 88 d4 23 95 01 93
accept = 0.0.0.0:443
connect = 127.0.0.1:80
verify = 2
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 16
|
Добрый день, итоговая конфигурация рабочая получилась следующая. Код:
pid=/tmp/stunnel_cli.pid
output = /var/log/stunnel/stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[server]
client = no
cert = 397218245eb7857448bc7e53e313e88c6d315da6
sslVersion = TLSv1.2
accept = 443
connect = 192.168.1.3:8700
verify = 2
сертификат для сервера в CN содержит ip адрес сервера так как сервер не в домене. CA root сертификат добавлен через крипто про в хранилище root сертификат сервера добавлен в хранилище my в конфиге использовал SHA1 отпечаток сертификата установленного в хранилище. Так же в root добавлен CA сертификат пользователя, который будет подключаться ко мне с сертификатом подписанным этим УЦ. сертификат пользователя на всякий случай добавил тоже в хранилище my но от пользователя у меня нет закрытого ключа. на своем ПК установил в доверенные СА сертификат которым подписан сертификат сервера, в личные установил сертификат пользователя подписанный этим же СА сертификатом. важный момент - это sslVersion = TLSv1.2 с версией 1.3 не работает так как видимо в openssl для 1.3 по умолчанию нет ГОСТ шифров. на Астра Линукс так же был установлен пакет apt install libgost-astra по TLSv1.2 через IE все нормально работает, сертификат запрашивается. Через браузеры Опера Хром, не работает, так как там видимо по умолчанию TLSv1.3. Через Яндекс браузер так же работает доступ. При добавлении сертификатов в хранилище например root через -store Root, КриптоПРО говорит что используется устаревший параметр -store Root, а что надо использовать теперь? Информацию по этому поводу не нашел. Отредактировано пользователем 25 марта 2024 г. 10:37:49(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 31.05.2016(UTC)
Сообщений: 1,844
Сказал(а) «Спасибо»: 455 раз
Поблагодарили: 312 раз в 294 постах
|
Автор: bigsmog88 При добавлении сертификатов в хранилище например root через -store Root, КриптоПРО говорит что используется устаревший параметр -store Root, а что надо использовать теперь? Информацию по этому поводу не нашел. mRoot - хранилище компьютера, для установки в хранилище требуются права администратора, сертификаты из него также маппятся в пользовательские хранилища, т.е. доступны для чтения всем пользователям системы; uRoot - хранилище текущего пользователя.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
