logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline ingtar  
#1 Оставлено : 17 сентября 2013 г. 18:55:03(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Добрый день! Отправлял письмо на ящик технической поддержки, на всякий случай спрошу еще и тут - вдруг кто уже сталкивался с таким делом...
Требуется отправлять данные с одного сервера на другой, используя TLS и сертификат соответственно.
Был запрошен сертификат у ЗАО "Национальный удостоверяющий центр". Получили тестовый сертификат письмом, архив с папкой fb-test.000 и внутри 6 файликов.



Делаю HDIMAGE для этих файликов:
cpconfig -hardware reader -add HDIMAGE store

Контейнер появился, я вижу его командой /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc

Копирую туда папку из архива (fb-test.000 и 6 файлов внутри)

Ставлю из этого контейнера сертификат:
/opt/cprocsp/bin/amd64/certmgr -inst -cont '\\.\HDIMAGE\fb-test'


Пароль не запрашивает (хотя закрытый ключ имеет защиту ПИН согласно информации от НУЦ)
Если использовать ключ -pin и указать сообщенный пароль, установка так же завершается корректно.

Смотрим, что оно поставилось: /opt/cprocsp/bin/amd64/certmgr -list




Сертификат экспортируется для указания его в stunnel:
/opt/cprocsp/bin/amd64/certmgr -export -dest fabr.cer -cont '\\.\HDIMAGE\fb-test'
Файлик создается -

После чего файлик копируется в соответствующую папку.
настройка stunel (полный конфиг нет возможности указать на данный момент):
cert = /etc/stunnel/pers_cert/fabr.cer
Запуск стуннеля:
sudo /opt/cprocsp/sbin/amd64/stunnel_thread /etc/stunnel/stunnel.conf &

при попытке курлом обратиться на сайт -
длинная простыня из слова Password:
Password:
Password:
Password:
Password:
Password:
Password:
Password:

В логах стуннеля:
2013.09.17 15:19:26 LOG7[8120:140602890352384]: https connecting
2013.09.17 15:19:26 LOG7[8120:140602890352384]: connect_wait: waiting 10
seconds
2013.09.17 15:19:26 LOG7[8120:140602890352384]: connect_wait: connected
2013.09.17 15:19:26 LOG7[8120:140602890352384]: Remote FD=14 initialized
2013.09.17 15:19:26 LOG7[8120:140602890352384]: TCP_NODELAY option set
on remote socket
2013.09.17 15:19:26 LOG7[8120:140602890352384]: start SSPI connect
2013.09.17 15:19:26 LOG7[8120:140602890352384]: open file
/etc/stunnel/pers_cert/fabr.cer with certificate

После этого процесс зависает и помогает только убийство и запуск туннеля
по новой. Причем пока висит туннель - нельзя производить манипуляции с
сертификатми (добавление, список сертификатов в контейнере)

Есть подозрение, что я неправильно устанавливаю сертификат, или с ним нужно производить дополнительные манипуляции.
Буду признателен за помощь
Offline Максим Коллегин  
#2 Оставлено : 17 сентября 2013 г. 22:11:45(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,599
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 537 раз в 487 постах
Сделайте пустой пароль на контейнер.
Знания в базе знаний, поддержка в техподдержке
Offline ingtar  
#3 Оставлено : 18 сентября 2013 г. 7:45:34(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Подскажите, пожалуйста, как это сделать. Имеются линуксовые утилиты и виндовые машины с КриптоПро CSP
Offline Андрей Писарев  
#4 Оставлено : 18 сентября 2013 г. 7:56:17(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,348
Мужчина

Сказал «Спасибо»: 292 раз
Поблагодарили: 1172 раз в 922 постах
Автор: ingtar Перейти к цитате
Подскажите, пожалуйста, как это сделать. Имеются линуксовые утилиты и виндовые машины с КриптоПро CSP


2.5.4. Управление паролями доступа к закрытым ключам
Техническую поддержку оказываем тут
Наша база знаний
Offline ingtar  
#5 Оставлено : 18 сентября 2013 г. 8:56:15(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Удаление ПИНа с контенера помогло, чувствую движение в решении проблемы, спасибо!
Теперь другая напасть - Соединение устанавливается, но вот такие ошибки в логах stunnel:

И соответственно ничего не получаю с той стороны
Конфиг stunnel.conf:


sslVersion закоменчено, т.к. с ней выдается ошибка при запуске тунеля- Specified option name is not valid here

Отредактировано пользователем 18 сентября 2013 г. 10:27:59(UTC)  | Причина: Не указана

Offline cross  
#6 Оставлено : 19 сентября 2013 г. 8:05:39(UTC)
cross

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 909
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 145 раз в 134 постах
А вы хотите использовать односторонний TLS или двусторонний? Если односторонний то вам не нужен сертификат и ключ для stunnel. Если двусторонний то флаг mutual_auth нужно поставить в yes.
Если при этом ошибка не изменится то попрбуйте обновить дистрибутив CSP + stunnel. Судя по версии Ver:3.6.6497 он не самой последней из ветки 3.6. Пакет из 13 байт на котором сломался stunnel может быть запросом на Renegotiate(длины совпадают), поддержку его разрешили не так давно.

Анатолий Беляев (cross на cryptopro.ru)
Offline ingtar  
#7 Оставлено : 19 сентября 2013 г. 10:24:26(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Двусторонняя.
При включении mutual_auth в yes он ругается:
file /etc/stunnel/stunnel.conf line 33: Specified option name is not valid here
Offline cross  
#8 Оставлено : 19 сентября 2013 г. 11:03:24(UTC)
cross

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 909
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 145 раз в 134 постах
рекомендую вам обновится на версию КриптоПро CSP 3.6.7774 (Papaya) от 3.09.2013. В ней опцию mutual_auth можно не указывать вообще, она была убрана.
Можете еще выбрать через опцию -file в csptest тот же запрос как и в stunnel и приложить лог? По умолчанию csptest просит GET default.htm которой на сервере нет. Что бы проследить обмен при требовании аутентификации клиента.
Анатолий Беляев (cross на cryptopro.ru)
Offline ingtar  
#9 Оставлено : 19 сентября 2013 г. 12:07:10(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Обновились до CSP (Type:75) v3.6.5364 KC1, требовать эту штуку оно действительно перестало.
Новый виток проблемы - при обращении к сайту нужному получаем в логах:
curl -v -d "" localhost:1500/223/integration/integration/upload




На всякий случай - актуальный конфиг стуннеля:

Проверяем обращение к вашей тестовой страничке https://www.cryptopro.ru:4444/test/tls-cli.asp:
/opt/cprocsp/bin/amd64/csptestf -tlsc -server cryptopro.ru -port 4444 -file test/tls-cli.asp -user "Фабрикант.ру, ООО" -v

При попытке проверить нужный сайт:


Как быть, куда смотреть?.. паника Brick wall
Offline cross  
#10 Оставлено : 19 сентября 2013 г. 13:09:24(UTC)
cross

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 909
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 145 раз в 134 постах
Не, теперь мы добились той ошибки которой я ожидал.
Теперь видно что эти 13 байт были как раз запрос на Renegotiate и после предоставления вами вашего сертификата сервер закрыл соединение.
Вам надо задать следующий вопрос владельцам сервера:
Ваш сертификат выдан CN="ЗАО ""Национальный удостоверяющий центр"""
их серверный сертификат выдан нашим тестовым УЦ
CN=Test Center CRYPTO-PRO (что для боевого сервиса весьма странно :) )
Доверяет ли их сервер сертификатам выданным от УЦ "ЗАО ""Национальный удостоверяющий центр""" ?

Отредактировано пользователем 19 сентября 2013 г. 13:10:12(UTC)  | Причина: Не указана

Анатолий Беляев (cross на cryptopro.ru)
Offline shkodnik  
#11 Оставлено : 24 сентября 2013 г. 15:43:11(UTC)
shkodnik

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.08.2011(UTC)
Сообщений: 554
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 52 раз
Поблагодарили: 45 раз в 28 постах
Автор: cross Перейти к цитате

их серверный сертификат выдан нашим тестовым УЦ
CN=Test Center CRYPTO-PRO (что для боевого сервиса весьма странно :) )

Именно на клиентском сертификате тестового УЦ Крипто-Про нам удалось настроить транспорт
это не боевой сервис, это тестовый контур
Offline prysad  
#12 Оставлено : 13 ноября 2013 г. 16:21:57(UTC)
prysad

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.12.2012(UTC)
Сообщений: 5

Удалось кому-нибудь решить эту проблему?
А наступил ровно на те же грабли, что и в теме.
Offline ingtar  
#13 Оставлено : 13 ноября 2013 г. 19:47:07(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Да, успешно настроили. Решилось все установкой на той стороне корневого сертификата от УЦ, что выпустил наш сертификат.
Огромная благодарность работникам КриптоПро :)
Offline Detuner  
#14 Оставлено : 19 ноября 2013 г. 18:16:20(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 18
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 5 раз
Здравствуйте.
Поднимаю эту тему, так как столкнулся с проблемами на той же самой задаче (двусторонняя авторизация при обмене с zakupki.gov.ru).
Есть дистрибутив debian 6.0.7, установлен КриптоПро 3.6 R3 вместе с stunnel. Есть действующий усиленный сертификат, выданный УЦ "Тензор", установлен в HDIMAGE. Корневые сертификаты в ROOT, crl'ы в CA. Пробую тестовый коннект:

Насколько я понимаю, ругается на то, что имя сервера не совпадает с полем CN сертификата, хотя видно, что оно совпадает. Если добавить опцию -nocheck, всё проходит как по маслу:

Соответственно, при коннекте через stunnel проблемы те же, что видно в логе stunnel.
Подскажите пожалуйста, куда копать, свои идеи закончились.
Offline Detuner  
#15 Оставлено : 20 ноября 2013 г. 9:32:41(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 18
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 5 раз
Апдейт:
Установил корневой сертификат и crl тестового УЦ КриптоПро, попробовал коннект к тестовой странице, всё работает:
Offline Мясников Роман  
#16 Оставлено : 20 ноября 2013 г. 11:02:57(UTC)
Мясников Роман

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
Добрый день.
Интересно с Stunnel так же можете пройти без клиентского сертификата?
Отправьте конфигурационный файл и лог.
Отправьте ваш клиентский сертификат.
Offline cross  
#17 Оставлено : 20 ноября 2013 г. 11:54:21(UTC)
cross

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 909
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 145 раз в 134 постах
В сертификате сервера нет случаем Subject_alt_name расширения? Если оно есть, то имена должны совпадать с ним а не с CN.
Анатолий Беляев (cross на cryptopro.ru)
Offline Detuner  
#18 Оставлено : 20 ноября 2013 г. 13:11:10(UTC)
Detuner

Статус: Участник

Группы: Участники
Зарегистрирован: 19.11.2013(UTC)
Сообщений: 18
Российская Федерация
Откуда: NNov

Сказал(а) «Спасибо»: 5 раз
Клиентский серт прикрепил к посту.
Конфиг stunnel:


Лог stunnel:


Выставил в конфиге stunnel verify = 0, так коннектится, полностью проверить работоспособность не могу, т.к. похоже, что сервис интеграции у zakupki.gov.ru лежит.

Лог stunnel с verify = 0:


cross, про серверный сертификат я знаю только то, что csptestf показывает при попытке подключения:

Есть ли какой-нибудь способ через консоль получить его в .cer или посмотреть полный список полей ? Скачать его ниоткуда нельзя, во всяком случае я не нашел. На сайте zakupki.gov.ru есть некий серверный сертификат, но другой, у него CN=zakupki.gov.ru и срок действия не совпадает.

Отредактировано пользователем 20 ноября 2013 г. 13:13:16(UTC)  | Причина: Не указана

Вложение(я):
t223cert.zip (2kb) загружен 8 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Hyperc0der  
#19 Оставлено : 20 декабря 2013 г. 11:57:06(UTC)
Hyperc0der

Статус: Участник

Группы: Участники
Зарегистрирован: 16.02.2012(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 2 раз
Всем добрый день, проблема с stunnel.

Конфиг stunnel


Stunnel не срабатывает при обращении к серверу, указанному в параметре connect конфига stunnel.

curl https://int223.zakupki.gov.ru:443/223/integration/integration/upload -v


Код:
* About to connect() to int223.zakupki.gov.ru port 443 (#0)
*   Trying 194.105.148.92... connected
* successfully set certificate verify locations:
*   CAfile: none
  CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS alert, Server hello (2):
* error:140920F8:SSL routines:SSL3_GET_SERVER_HELLO:unknown cipher returned
* Closing connection #0
curl: (35) error:140920F8:SSL routines:SSL3_GET_SERVER_HELLO:unknown cipher returned


В логах stunnel пусто, в чем может быть проблема? Anxious

При запросе через csptestf
Код:
/opt/cprocsp/bin/ia32/csptestf -tlsc -server int223.zakupki.gov.ru -port 443 -user '<Common Name>' -v

подключение работает.

ОС: Ubuntu 12.04 Server, FreeBSD 8.2
КриптоПро CSP 3.6.7491 R3 Kumquat
Stunnel 4.18

Отредактировано пользователем 25 декабря 2013 г. 15:37:58(UTC)  | Причина: добавил данные о системе

Offline cross  
#20 Оставлено : 13 января 2014 г. 7:39:59(UTC)
cross

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 909
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 145 раз в 134 постах
Что бы сработал stunnel вы должны обращаться вместо адреса int223.zakupki.gov.ru на localhost:223 по протоколу http.
Анатолий Беляев (cross на cryptopro.ru)
thanks 1 пользователь поблагодарил cross за этот пост.
Hyperc0der оставлено 13.01.2014(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.