Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline alchemy232  
#11 Оставлено : 1 февраля 2019 г. 16:16:00(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

я же указал в заголовке и в топике, что мы используем stunnel-msspi

1. установка чистой системы Ubuntu 18.04
2. Ставим libpcsclite1/bionic,now 1.8.23-1 amd64 [установлен]
3. устанавливаем пакеты:


4.Проверяем наличие ключевого носителя:
pcscs_scan
5. Смотрим что есть в системе из подключенных контейнеров:
csptest -keyset -enum_cont -fqcn -verifyc
6. Копируем контейнер из ключевого носителя в локальное хранилище
csptestf -keycopy -contsrc '\\.\Aktiv Rutoken ECP 00 00\Контейнер_оригинал' -contdest '\\.\HDIMAGE\Контейнер_локальный'
7.Устанавливаем сертификат из локального контейнера
certmgr -inst -cont '\\.\HDIMAGE\Контейнер_локальный' -store uMy
8. Проверяем наличие сертификата в локальном хранилище uMy и смотрим на номер отпечатка, для применения в конфиге stunnel-msspi
certmgr -list -store uMy
9.Запускаем stunnel-msspi с нашим конфигурационным файлом (обсуждали выше)

Получаем ошибки, описанные выше.
Offline KHotemov Dmitriy  
#12 Оставлено : 4 февраля 2019 г. 12:00:32(UTC)
KHotemov Dmitriy

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.02.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Сыктывкар

Автор: Дмитрий Пичулин Перейти к цитате
Итого: ошибка рассогласуется с описанием ошибки, есть подозрение что вы используете версию stunnel с форком, но мы такую версию с августа 2018 не выкладываем.

Поэтому просьба описать порядок действий по шагам на чистой системе приводящий к ошибке.


Автор: alchemy232 Перейти к цитате
я же указал в заголовке и в топике, что мы используем stunnel-msspi

1. установка чистой системы Ubuntu 18.04
2. Ставим libpcsclite1/bionic,now 1.8.23-1 amd64 [установлен]
3. устанавливаем пакеты:


4.Проверяем наличие ключевого носителя:
pcscs_scan
5. Смотрим что есть в системе из подключенных контейнеров:
csptest -keyset -enum_cont -fqcn -verifyc
6. Копируем контейнер из ключевого носителя в локальное хранилище
csptestf -keycopy -contsrc '\\.\Aktiv Rutoken ECP 00 00\Контейнер_оригинал' -contdest '\\.\HDIMAGE\Контейнер_локальный'
7.Устанавливаем сертификат из локального контейнера
certmgr -inst -cont '\\.\HDIMAGE\Контейнер_локальный' -store uMy
8. Проверяем наличие сертификата в локальном хранилище uMy и смотрим на номер отпечатка, для применения в конфиге stunnel-msspi
certmgr -list -store uMy
9.Запускаем stunnel-msspi с нашим конфигурационным файлом (обсуждали выше)

Получаем ошибки, описанные выше.



Дмитрий - очень хотелось, что бы Вы помогли разобраться в нашей совместной проблеме ???
Offline Дмитрий Пичулин  
#13 Оставлено : 4 февраля 2019 г. 12:11:13(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: KHotemov Dmitriy Перейти к цитате
Дмитрий - очень хотелось, что бы Вы помогли разобраться в нашей совместной проблеме ???

В пятницу пытались воспроизвести, пока безрезультатно, ошибок нет.

Если не сможем воспроизвести, пришлём свою версию установки по шагам.
Знания в базе знаний, поддержка в техподдержке
Offline Ефремов Степан  
#14 Оставлено : 4 февраля 2019 г. 13:42:08(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 49
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 17 раз в 16 постах
Ошибку воспроизвести не получилось. Рабочий вариант:

1. Установка чистой системы Ubuntu 18.04
2. Установка csp 5.0:
Код:
# dpkg --list | grep csp:
cprocsp-curl-64              5.0.11319-5
lsb-cprocsp-base             5.0.11319-5
lsb-cprocsp-ca-certs         5.0.11319-5
lsb-cprocsp-capilite-64      5.0.11319-5
lsb-cprocsp-kc1-64           5.0.11319-5
lsb-cprocsp-rdr-64           5.0.11319-5

3. Скачиваем stunnel-msspi
4. Генерация и установка сертификата с паролем "1":
Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -rdn 'CN=t_stun' -cont '\\.\HDIMAGE\t_stun'
-certusage 1.3.6.1.5.5.7.3.2 -ku -du -ex -ca http://cryptopro.ru/certsrv

5. Смотрим SHA1 Hash сертификата:
Код:
./certmgr -list -store uMy
...
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=t_stun
Serial              : 0x120032167F3710BEB291F0C97300000032167F
SHA1 Hash           : 87e442b85edcb8920ac76f07e9e8d1e4a78b4edb
...

6. Конфиг stunnel:
Код:
output = /var/log/stunnel/log.txt
debug = 7
verify = 0
pin = 1

[pseudo-https]
msspi = yes
client = yes
cert = 87e442b85edcb8920ac76f07e9e8d1e4a78b4edb
accept = 127.0.0.1:8080
connect = gost.cryptopro.ru:443
#api.dom.gosuslugi.ru:443

7. Запускаем stunnel, в браузере смотрим 127.0.0.1:8080 - работает.
Техническая поддержка здесь.
База знаний здесь.
Offline alchemy232  
#15 Оставлено : 4 февраля 2019 г. 16:29:12(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

Пробовали ваш вариант с генерацией - все хорошо.

Будьте добры, посмотрите еще раз наш алгоритм действий, может мы неверно поступаем ?

1.Копируем контейнер с ключевого носителя в локальный.
2.устанавливаем сертификат уже из локального контейнера.

Но я все равно не понимаю поиск же идет сквозной по отпечатку или только по определенному хранилищу ?

Отредактировано пользователем 4 февраля 2019 г. 16:56:16(UTC)  | Причина: Ошибка была

Offline Дмитрий Пичулин  
#16 Оставлено : 4 февраля 2019 г. 17:15:35(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: alchemy232 Перейти к цитате
Пробовали ваш вариант с генерацией - все хорошо.

Будьте добры, посмотрите еще раз наш алгоритм действий, может мы неверно поступаем ?

1.Копируем контейнер с ключевого носителя в локальный.
2.устанавливаем сертификат уже из локального контейнера.

Но я все равно не понимаю поиск же идет сквозной по отпечатку или только по определенному хранилищу ?

Ошибок в вашем алгоритме действий не видим.

Поиск идёт по двум системным хранилищам: пользовательскому и local_machine.
Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#17 Оставлено : 5 февраля 2019 г. 9:06:24(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

Ну, собственно, кажется, что мы нашли ошибку:
возможно, что certmgr криво отрабатывает, но нижеуказанный вариант не обеспечивает stunnel-msspi поиск сертификата.
Код:
certmgr -inst -cont '\\.\HDIMAGE\Контейнер' -store uMy

в отличие от вот такого варианта
Код:
cryptcp -CSPcert -ku -du -ex -cont '\\.\HDIMAGE\Контейнер'

Надеюсь, что это кому то поможет сохранить время.
Хотелось бы получить комментарий в чем принципиальная разница в этих двух вариантах ?

Отредактировано пользователем 5 февраля 2019 г. 9:10:42(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.