logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline alchemy232  
#1 Оставлено : 31 января 2019 г. 10:44:12(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

исходные данные:
ОС:
root@tunnel:/home/sysadmin# uname -a
Linux tunnel 4.15.0-44-generic #47-Ubuntu SMP Mon Jan 14 11:26:59 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
установленные пакеты:

Пытаемся организовать тунель до api.dom.gosuslugi.ru
Пользуем stunnel-msspi 5.50 отсюда stunnel-msspi
ниже конфиг cat /etc/stunnel.conf

вырезал только ошибки tail -f /var/log/syslog

Что мы делаем не так ?
Offline Дмитрий Пичулин  
#2 Оставлено : 31 января 2019 г. 11:30:51(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: alchemy232 Перейти к цитате


Что мы делаем не так ?

При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок.

Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#3 Оставлено : 31 января 2019 г. 11:56:24(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

Автор: Дмитрий Пичулин Перейти к цитате

При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок.

Выполняю от того же пользователя, что и запускаем stunnel-msspi, то есть от root

csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello
ниже результат
Offline Дмитрий Пичулин  
#4 Оставлено : 31 января 2019 г. 14:26:00(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: alchemy232 Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок.

Выполняю от того же пользователя, что и запускаем stunnel-msspi, то есть от root

csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello
ниже результат

Начните с простого конфига и двигайтесь к сложному:

Код:
output = /var/log/stunnel.log
debug = debug

[pseudo-https]
msspi = yes
client = yes
cert = b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a
pin = 1
accept = 192.168.10.190:8080
connect = api.dom.gosuslugi.ru:443

Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#5 Оставлено : 31 января 2019 г. 14:32:35(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

Автор: Дмитрий Пичулин Перейти к цитате

Начните с простого конфига и двигайтесь к сложному:

Начиная с этого простого конфига уже сыпятся ошибки, к сожалению.


Offline Дмитрий Пичулин  
#6 Оставлено : 31 января 2019 г. 15:05:01(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: Дмитрий Пичулин Перейти к цитате
csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello

Ваша ошибка 0x8009001D говорит о серьёзных проблемах в провайдере, можно всё таки полноценное соединение установить:

Код:
csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a


Попробуйте переустановить CSP по инструкции, возможно нарушена целостность.

Если ничего не помогает, соберите диагностический архив и отправьте в ЛС:

Код:
curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl



Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#7 Оставлено : 31 января 2019 г. 15:20:12(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a


Диагностический архив отправил в ЛС.

Пробовали разные версии и 4 и 5. В разных вариациях. В случае с 4ой версией CSP ошибка была менее информативна.
Offline KHotemov Dmitriy  
#8 Оставлено : 1 февраля 2019 г. 11:46:16(UTC)
KHotemov Dmitriy

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.02.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Сыктывкар

Автор: alchemy232 Перейти к цитате
исходные данные:
ОС:
root@tunnel:/home/sysadmin# uname -a
Linux tunnel 4.15.0-44-generic #47-Ubuntu SMP Mon Jan 14 11:26:59 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
установленные пакеты:

Пытаемся организовать тунель до api.dom.gosuslugi.ru
Пользуем stunnel-msspi 5.50 отсюда stunnel-msspi
ниже конфиг cat /etc/stunnel.conf

вырезал только ошибки tail -f /var/log/syslog

Что мы делаем не так ?


Абсолютно та же проблема, перепробывали все варианты ! Из коробки не работает !
Offline Дмитрий Пичулин  
#9 Оставлено : 1 февраля 2019 г. 12:36:08(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: KHotemov Dmitriy Перейти к цитате
Абсолютно та же проблема, перепробывали все варианты ! Из коробки не работает !

По вашему описанию всё должно работать, непонятная проблема.

Предлагается усилить журналирование:

Код:
/opt/cprocsp/sbin/amd64/cpconfig -loglevel cpcsp -mask 0xf
/opt/cprocsp/sbin/amd64/cpconfig -loglevel capi20 -mask 0xf


Воспроизвести проблему.

Прислать отладочный архив:

Код:
curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl


Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#10 Оставлено : 1 февраля 2019 г. 15:39:38(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Итого: ошибка рассогласуется с описанием ошибки, есть подозрение что вы используете версию stunnel с форком, но мы такую версию с августа 2018 не выкладываем.

Поэтому просьба описать порядок действий по шагам на чистой системе приводящий к ошибке.
Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#11 Оставлено : 1 февраля 2019 г. 16:16:00(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

я же указал в заголовке и в топике, что мы используем stunnel-msspi

1. установка чистой системы Ubuntu 18.04
2. Ставим libpcsclite1/bionic,now 1.8.23-1 amd64 [установлен]
3. устанавливаем пакеты:


4.Проверяем наличие ключевого носителя:
pcscs_scan
5. Смотрим что есть в системе из подключенных контейнеров:
csptest -keyset -enum_cont -fqcn -verifyc
6. Копируем контейнер из ключевого носителя в локальное хранилище
csptestf -keycopy -contsrc '\\.\Aktiv Rutoken ECP 00 00\Контейнер_оригинал' -contdest '\\.\HDIMAGE\Контейнер_локальный'
7.Устанавливаем сертификат из локального контейнера
certmgr -inst -cont '\\.\HDIMAGE\Контейнер_локальный' -store uMy
8. Проверяем наличие сертификата в локальном хранилище uMy и смотрим на номер отпечатка, для применения в конфиге stunnel-msspi
certmgr -list -store uMy
9.Запускаем stunnel-msspi с нашим конфигурационным файлом (обсуждали выше)

Получаем ошибки, описанные выше.
Offline KHotemov Dmitriy  
#12 Оставлено : 4 февраля 2019 г. 12:00:32(UTC)
KHotemov Dmitriy

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.02.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Сыктывкар

Автор: Дмитрий Пичулин Перейти к цитате
Итого: ошибка рассогласуется с описанием ошибки, есть подозрение что вы используете версию stunnel с форком, но мы такую версию с августа 2018 не выкладываем.

Поэтому просьба описать порядок действий по шагам на чистой системе приводящий к ошибке.


Автор: alchemy232 Перейти к цитате
я же указал в заголовке и в топике, что мы используем stunnel-msspi

1. установка чистой системы Ubuntu 18.04
2. Ставим libpcsclite1/bionic,now 1.8.23-1 amd64 [установлен]
3. устанавливаем пакеты:


4.Проверяем наличие ключевого носителя:
pcscs_scan
5. Смотрим что есть в системе из подключенных контейнеров:
csptest -keyset -enum_cont -fqcn -verifyc
6. Копируем контейнер из ключевого носителя в локальное хранилище
csptestf -keycopy -contsrc '\\.\Aktiv Rutoken ECP 00 00\Контейнер_оригинал' -contdest '\\.\HDIMAGE\Контейнер_локальный'
7.Устанавливаем сертификат из локального контейнера
certmgr -inst -cont '\\.\HDIMAGE\Контейнер_локальный' -store uMy
8. Проверяем наличие сертификата в локальном хранилище uMy и смотрим на номер отпечатка, для применения в конфиге stunnel-msspi
certmgr -list -store uMy
9.Запускаем stunnel-msspi с нашим конфигурационным файлом (обсуждали выше)

Получаем ошибки, описанные выше.



Дмитрий - очень хотелось, что бы Вы помогли разобраться в нашей совместной проблеме ???
Offline Дмитрий Пичулин  
#13 Оставлено : 4 февраля 2019 г. 12:11:13(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: KHotemov Dmitriy Перейти к цитате
Дмитрий - очень хотелось, что бы Вы помогли разобраться в нашей совместной проблеме ???

В пятницу пытались воспроизвести, пока безрезультатно, ошибок нет.

Если не сможем воспроизвести, пришлём свою версию установки по шагам.
Знания в базе знаний, поддержка в техподдержке
Offline Ефремов Степан  
#14 Оставлено : 4 февраля 2019 г. 13:42:08(UTC)
Ефремов Степан

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 7
Российская Федерация

Ошибку воспроизвести не получилось. Рабочий вариант:

1. Установка чистой системы Ubuntu 18.04
2. Установка csp 5.0:
Код:
# dpkg --list | grep csp:
cprocsp-curl-64              5.0.11319-5
lsb-cprocsp-base             5.0.11319-5
lsb-cprocsp-ca-certs         5.0.11319-5
lsb-cprocsp-capilite-64      5.0.11319-5
lsb-cprocsp-kc1-64           5.0.11319-5
lsb-cprocsp-rdr-64           5.0.11319-5

3. Скачиваем stunnel-msspi
4. Генерация и установка сертификата с паролем "1":
Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -rdn 'CN=t_stun' -cont '\\.\HDIMAGE\t_stun'
-certusage 1.3.6.1.5.5.7.3.2 -ku -du -ex -ca http://cryptopro.ru/certsrv

5. Смотрим SHA1 Hash сертификата:
Код:
./certmgr -list -store uMy
...
Issuer              : E=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
Subject             : CN=t_stun
Serial              : 0x120032167F3710BEB291F0C97300000032167F
SHA1 Hash           : 87e442b85edcb8920ac76f07e9e8d1e4a78b4edb
...

6. Конфиг stunnel:
Код:
output = /var/log/stunnel/log.txt
debug = 7
verify = 0
pin = 1

[pseudo-https]
msspi = yes
client = yes
cert = 87e442b85edcb8920ac76f07e9e8d1e4a78b4edb
accept = 127.0.0.1:8080
connect = gost.cryptopro.ru:443
#api.dom.gosuslugi.ru:443

7. Запускаем stunnel, в браузере смотрим 127.0.0.1:8080 - работает.
Техническая поддержка здесь.
База знаний здесь.
Offline alchemy232  
#15 Оставлено : 4 февраля 2019 г. 16:29:12(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

Пробовали ваш вариант с генерацией - все хорошо.

Будьте добры, посмотрите еще раз наш алгоритм действий, может мы неверно поступаем ?

1.Копируем контейнер с ключевого носителя в локальный.
2.устанавливаем сертификат уже из локального контейнера.

Но я все равно не понимаю поиск же идет сквозной по отпечатку или только по определенному хранилищу ?

Отредактировано пользователем 4 февраля 2019 г. 16:56:16(UTC)  | Причина: Ошибка была

Offline Дмитрий Пичулин  
#16 Оставлено : 4 февраля 2019 г. 17:15:35(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 786
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 118 раз в 101 постах
Автор: alchemy232 Перейти к цитате
Пробовали ваш вариант с генерацией - все хорошо.

Будьте добры, посмотрите еще раз наш алгоритм действий, может мы неверно поступаем ?

1.Копируем контейнер с ключевого носителя в локальный.
2.устанавливаем сертификат уже из локального контейнера.

Но я все равно не понимаю поиск же идет сквозной по отпечатку или только по определенному хранилищу ?

Ошибок в вашем алгоритме действий не видим.

Поиск идёт по двум системным хранилищам: пользовательскому и local_machine.
Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#17 Оставлено : 5 февраля 2019 г. 9:06:24(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

Ну, собственно, кажется, что мы нашли ошибку:
возможно, что certmgr криво отрабатывает, но нижеуказанный вариант не обеспечивает stunnel-msspi поиск сертификата.
Код:
certmgr -inst -cont '\\.\HDIMAGE\Контейнер' -store uMy

в отличие от вот такого варианта
Код:
cryptcp -CSPcert -ku -du -ex -cont '\\.\HDIMAGE\Контейнер'

Надеюсь, что это кому то поможет сохранить время.
Хотелось бы получить комментарий в чем принципиальная разница в этих двух вариантах ?

Отредактировано пользователем 5 февраля 2019 г. 9:10:42(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.