Статус: Новичок
Группы: Участники
Зарегистрирован: 28.07.2017(UTC) Сообщений: 3
|
Здравствуйте. Пытаюсь настроить и создать защищенное соединение для работы с тестовым стендом ГИС ЖКХ как описано в инструкции: ИнструкцияВерсия ядра СКЗИ: 3.6.5365 КС2. Stunnel брат с офф сайта: StunnelПри создании запроса на тестовый сертификат ИНН и ОГРН указывал как в заявке на подключения к тестовому стенду, единственное отличие - это лидирующие нули в номере ИНН организации при запросе сертификата. Иначе не получается. Отрытая часть сертификата была экспортирована и отправлена в ГИС. Экспорт делал через оснастку "Сертификаты". Контейнер с закрытым ключом был скопирован в хранилище компьютера и сертификат в него был установлен. Сертификат тестового УЦ КриптоПро также установлен в “Доверенные корневые центры сертификации” локального компьютера Конфиг Stunnel: Код:
output=C:\Stunnel\stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[https]
client = yes
accept=localhost:8080
connect = 217.107.108.147:10081
cert=C:\Stunnel\import.cer
verify=2
Далее пробую подключиться к http://localhost:8080/217.107.108.147 При этом в логе Stunnel следующее: Код:
2017.07.28 10:16:09 LOG5[2972:2272]: stunnel 4.18 on x86-pc-unknown
2017.07.28 10:16:09 LOG5[2972:2272]: Threading:WIN32 Sockets:SELECT,IPv6
2017.07.28 10:16:09 LOG5[2972:2272]: No limit detected for the number of clients
2017.07.28 10:16:09 LOG7[2972:2272]: FD 280 in non-blocking mode
2017.07.28 10:16:09 LOG7[2972:2272]: SO_REUSEADDR option set on accept socket
2017.07.28 10:16:09 LOG7[2972:2272]: https bound to ::1:8081
2017.07.28 10:16:22 LOG7[2972:2272]: https accepted FD=284 from ::1:49325
2017.07.28 10:16:22 LOG7[2972:2272]: Creating a new thread
2017.07.28 10:16:22 LOG7[2972:2272]: New thread created
2017.07.28 10:16:22 LOG7[2972:820]: client start
2017.07.28 10:16:22 LOG7[2972:820]: https started
2017.07.28 10:16:22 LOG7[2972:820]: FD 284 in non-blocking mode
2017.07.28 10:16:22 LOG7[2972:820]: TCP_NODELAY option set on local socket
2017.07.28 10:16:22 LOG5[2972:820]: https connected from ::1:49325
2017.07.28 10:16:22 LOG7[2972:820]: FD 348 in non-blocking mode
2017.07.28 10:16:22 LOG7[2972:820]: https connecting
2017.07.28 10:16:22 LOG7[2972:820]: connect_wait: waiting 10 seconds
2017.07.28 10:16:22 LOG7[2972:820]: connect_wait: connected
2017.07.28 10:16:22 LOG7[2972:820]: Remote FD=348 initialized
2017.07.28 10:16:22 LOG7[2972:820]: TCP_NODELAY option set on remote socket
2017.07.28 10:16:22 LOG7[2972:820]: start SSPI connect
2017.07.28 10:16:22 LOG5[2972:820]: try to read the client certificate
2017.07.28 10:16:22 LOG7[2972:820]: open file C:\Stunnel\import.cer with certificate
2017.07.28 10:16:22 LOG5[2972:820]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2017.07.28 10:16:22 LOG3[2972:820]: Credentials complete
2017.07.28 10:16:22 LOG7[2972:820]: 133 bytes of handshake data sent
2017.07.28 10:16:22 LOG5[2972:820]: 1376 bytes of handshake(in handshake loop) data received.
2017.07.28 10:16:22 LOG5[2972:820]: 1955 bytes of handshake(in handshake loop) data received.
2017.07.28 10:16:22 LOG5[2972:820]: 2209 bytes of handshake data sent
2017.07.28 10:16:22 LOG5[2972:820]: 1376 bytes of handshake(in handshake loop) data received.
2017.07.28 10:16:22 LOG5[2972:820]: 974 bytes of handshake(in handshake loop) data received.
2017.07.28 10:16:22 LOG5[2972:820]: Handshake was successful
2017.07.28 10:16:22 LOG5[2972:820]: PerformClientHandshake finish
2017.07.28 10:16:22 LOG5[2972:820]: Server subject: C
2017.07.28 10:16:22 LOG5[2972:820]: Server issuer: =
2017.07.28 10:16:22 LOG5[2972:820]: CA subject: =
2017.07.28 10:16:22 LOG5[2972:820]: CA issuer: =
2017.07.28 10:16:22 LOG3[2972:820]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2017.07.28 10:16:22 LOG3[2972:820]: Server name for checking is 217.107.108.147
2017.07.28 10:16:22 LOG3[2972:820]: **** Error 0x800b010f authenticating server credentials!
2017.07.28 10:16:22 LOG5[2972:820]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2017.07.28 10:16:22 LOG7[2972:820]: free Buffers
2017.07.28 10:16:22 LOG7[2972:820]: delete c->hContext
2017.07.28 10:16:22 LOG7[2972:820]: delete c->hClientCreds
2017.07.28 10:16:22 LOG5[2972:820]: incomp_mess = 0, extra_data = 1
2017.07.28 10:16:22 LOG7[2972:820]: https finished (0 left)
Собственно подключение не происходит. Подскажите из-за чего может быть ошибка: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy! Заранее спасибо.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,449 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 417 раз в 308 постах
|
Автор: Trp45 Подскажите из-за чего может быть ошибка: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy Ошибка проверка соответствия имени хоста с именем хоста в сертификате. Используйте вместо IP-адреса имя вашего хоста соответствующее сертификату в вашей конфигурации: Код:connect = hostname.example.com
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.07.2017(UTC) Сообщений: 3
|
Изменил в конфиге: Код:connect = sit01.dom.test.gosuslugi.ru:10081
Пробую подключиться к: http://localhost:8080/sit01.dom.test.gosuslugi.ru Так же самая ошибка. Еще подскажите, Цитата:Ошибка проверка соответствия имени хоста с именем хоста в сертификате. В каком сертификате? В тестовом?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,449 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 417 раз в 308 постах
|
Автор: Trp45 Изменил в конфиге: Код:connect = sit01.dom.test.gosuslugi.ru:10081
Пробую подключиться к: http://localhost:8080/sit01.dom.test.gosuslugi.ru Так же самая ошибка. Такого не может быть. Вероятно используется конфиг без изменений. Зачем вы подключаетесь к http://localhost:8080/sit01.dom.test.gosuslugi.ru? По логике stunnel вы должны подключаться к http://localhost:8080 |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,449 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 417 раз в 308 постах
|
На сервере https://sit01.dom.test.gosuslugi.ru:10081/ стоит сертификат с CN=gkh2017-2018 Таким образом, чтобы соединение было установлено без ошибок сопоставления имён, необходимо написать connect = gkh2017-2018:10081 А адрес gkh2017-2018 прописать в etc/hosts Ваша конструкция не типична, ошибок функционала в наших продуктах не наблюдается, дальше вряд ли поможем. |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.07.2017(UTC) Сообщений: 3
|
Спасибо за ответы, подключиться получилось после следующих действий: Цитата:Таким образом, чтобы соединение было установлено без ошибок сопоставления имён, необходимо написать connect = gkh2017-2018:10081
А адрес gkh2017-2018 прописать в etc/hosts Я не силен в криптографии и прочем, скажите а как определить что CN у адреса https://sit01.dom.test.gosuslugi.ru:10081/ именно gkh2017-2018?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,449 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 417 раз в 308 постах
|
Автор: Trp45 Я не силен в криптографии и прочем, скажите а как определить что CN у адреса Криптография здесь не при чём. Заходите на ваш адрес любым поддерживаемым браузером, например Internet Explorer, смотрите сертификат сервера, в нём будут различные поля, если определений DNS-имён нет, то для сопоставления с адресом может быть использовано имя сертификата (CN), в вашем случае оно и используется: 2017-07-28_23-04-04.png (12kb) загружен 599 раз(а). |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close