Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123>
Опции
К последнему сообщению К первому непрочитанному
Offline shkodnik  
#11 Оставлено : 24 сентября 2013 г. 15:43:11(UTC)
shkodnik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2011(UTC)
Сообщений: 554
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
Автор: cross Перейти к цитате

их серверный сертификат выдан нашим тестовым УЦ
CN=Test Center CRYPTO-PRO (что для боевого сервиса весьма странно :) )

Именно на клиентском сертификате тестового УЦ Крипто-Про нам удалось настроить транспорт
это не боевой сервис, это тестовый контур
Offline prysad  
#12 Оставлено : 13 ноября 2013 г. 16:21:57(UTC)
prysad

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2012(UTC)
Сообщений: 5

Удалось кому-нибудь решить эту проблему?
А наступил ровно на те же грабли, что и в теме.
Offline ingtar  
#13 Оставлено : 13 ноября 2013 г. 19:47:07(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Да, успешно настроили. Решилось все установкой на той стороне корневого сертификата от УЦ, что выпустил наш сертификат.
Огромная благодарность работникам КриптоПро :)
Offline Detuner  
#14 Оставлено : 19 ноября 2013 г. 18:16:20(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 22
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 6 раз
Здравствуйте.
Поднимаю эту тему, так как столкнулся с проблемами на той же самой задаче (двусторонняя авторизация при обмене с zakupki.gov.ru).
Есть дистрибутив debian 6.0.7, установлен КриптоПро 3.6 R3 вместе с stunnel. Есть действующий усиленный сертификат, выданный УЦ "Тензор", установлен в HDIMAGE. Корневые сертификаты в ROOT, crl'ы в CA. Пробую тестовый коннект:

Насколько я понимаю, ругается на то, что имя сервера не совпадает с полем CN сертификата, хотя видно, что оно совпадает. Если добавить опцию -nocheck, всё проходит как по маслу:

Соответственно, при коннекте через stunnel проблемы те же, что видно в логе stunnel.
Подскажите пожалуйста, куда копать, свои идеи закончились.
Offline Detuner  
#15 Оставлено : 20 ноября 2013 г. 9:32:41(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 22
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 6 раз
Апдейт:
Установил корневой сертификат и crl тестового УЦ КриптоПро, попробовал коннект к тестовой странице, всё работает:
Offline Мясников Роман  
#16 Оставлено : 20 ноября 2013 г. 11:02:57(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Добрый день.
Интересно с Stunnel так же можете пройти без клиентского сертификата?
Отправьте конфигурационный файл и лог.
Отправьте ваш клиентский сертификат.
Offline cross  
#17 Оставлено : 20 ноября 2013 г. 11:54:21(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
В сертификате сервера нет случаем Subject_alt_name расширения? Если оно есть, то имена должны совпадать с ним а не с CN.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline Detuner  
#18 Оставлено : 20 ноября 2013 г. 13:11:10(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 22
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 6 раз
Клиентский серт прикрепил к посту.
Конфиг stunnel:


Лог stunnel:


Выставил в конфиге stunnel verify = 0, так коннектится, полностью проверить работоспособность не могу, т.к. похоже, что сервис интеграции у zakupki.gov.ru лежит.

Лог stunnel с verify = 0:


cross, про серверный сертификат я знаю только то, что csptestf показывает при попытке подключения:

Есть ли какой-нибудь способ через консоль получить его в .cer или посмотреть полный список полей ? Скачать его ниоткуда нельзя, во всяком случае я не нашел. На сайте zakupki.gov.ru есть некий серверный сертификат, но другой, у него CN=zakupki.gov.ru и срок действия не совпадает.

Отредактировано пользователем 20 ноября 2013 г. 13:13:16(UTC)  | Причина: Не указана

Вложение(я):
t223cert.zip (2kb) загружен 9 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Hyperc0der  
#19 Оставлено : 20 декабря 2013 г. 11:57:06(UTC)
Hyperc0der

Статус: Участник

Группы: Участники
Зарегистрирован: 16.02.2012(UTC)
Сообщений: 20

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
Всем добрый день, проблема с stunnel.

Конфиг stunnel


Stunnel не срабатывает при обращении к серверу, указанному в параметре connect конфига stunnel.

curl https://int223.zakupki.gov.ru:443/223/integration/integration/upload -v


Код:
* About to connect() to int223.zakupki.gov.ru port 443 (#0)
*   Trying 194.105.148.92... connected
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS alert, Server hello (2):
* error:140920F8:SSL routines:SSL3_GET_SERVER_HELLO:unknown cipher returned
* Closing connection #0
curl: (35) error:140920F8:SSL routines:SSL3_GET_SERVER_HELLO:unknown cipher returned


В логах stunnel пусто, в чем может быть проблема? Anxious

При запросе через csptestf
Код:
/opt/cprocsp/bin/ia32/csptestf -tlsc -server int223.zakupki.gov.ru -port 443 -user '<Common Name>' -v

подключение работает.

ОС: Ubuntu 12.04 Server, FreeBSD 8.2
КриптоПро CSP 3.6.7491 R3 Kumquat
Stunnel 4.18

Отредактировано пользователем 25 декабря 2013 г. 15:37:58(UTC)  | Причина: добавил данные о системе

Offline cross  
#20 Оставлено : 13 января 2014 г. 7:39:59(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
Что бы сработал stunnel вы должны обращаться вместо адреса int223.zakupki.gov.ru на localhost:223 по протоколу http.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
thanks 1 пользователь поблагодарил Анатолий Беляев за этот пост.
Hyperc0der оставлено 13.01.2014(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.