Статус: Участник
Группы: Участники
Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз
|
Здравствуйте! Планирую переход с CSP 3.9 на 4.0, настроил тестовый сервер. ОС Debian 8.6, КриптоПро CSP 4.0.9708. Скопировал на него с боевого сервера на 3.9 все сертификаты а также конфиг stunnel:
pid = /var/tmp/stunnel.pid output = /var/log/stunnel/stunnel.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 foreground = yes setuid = root setgid = root ;chroot = {$prefix}/usr/local/var/lib/stunnel/ ;compression = rle
[https] CAfile = /etc/opt/cprocsp/cert/tensstun.cer cert = /etc/opt/cprocsp/cert/client.cer verify = 0 client = yes accept = 223 connect = int223.zakupki.gov.ru:443
Stunnel запускается, но при попытке отправки данных в лог валятся вот такие ошибки:
2016.09.21 14:53:03 LOG7[25176:140209470039936]: Service [https] accepted (FD=4) from 192.168.152.254:33052 2016.09.21 14:53:03 LOG7[25176:140209395611392]: client start 2016.09.21 14:53:03 LOG7[25176:140209395611392]: Service [https] started 2016.09.21 14:53:03 LOG5[25176:140209395611392]: Service [https] accepted connection from 192.168.152.254:33052 2016.09.21 14:53:03 LOG6[25176:140209395611392]: s_connect: connecting 194.105.148.92:443 2016.09.21 14:53:03 LOG7[25176:140209395611392]: s_connect: s_poll_wait 194.105.148.92:443: waiting 10 seconds 2016.09.21 14:53:03 LOG5[25176:140209395611392]: s_connect: connected 194.105.148.92:443 2016.09.21 14:53:03 LOG5[25176:140209395611392]: Service [https] connected remote server from 192.168.170.210:59741 2016.09.21 14:53:03 LOG7[25176:140209395611392]: Remote socket (FD=15) initialized 2016.09.21 14:53:03 LOG7[25176:140209395611392]: start SSPI connect 2016.09.21 14:53:03 LOG5[25176:140209395611392]: try to read the client certificate 2016.09.21 14:53:03 LOG7[25176:140209395611392]: open file /etc/opt/cprocsp/cert/client.cer with certificate 2016.09.21 14:53:04 LOG3[25176:140209395611392]: Credentials complete 2016.09.21 14:53:04 LOG7[25176:140209395611392]: 101 bytes of handshake data sent 2016.09.21 14:53:04 LOG5[25176:140209395611392]: 1300 bytes of handshake(in handshake loop) data received. 2016.09.21 14:53:04 LOG5[25176:140209395611392]: 1053 bytes of handshake(in handshake loop) data received. 2016.09.21 14:53:04 LOG5[25176:140209395611392]: 210 bytes of handshake data sent 2016.09.21 14:53:04 LOG5[25176:140209395611392]: 31 bytes of handshake(in handshake loop) data received. 2016.09.21 14:53:04 LOG5[25176:140209395611392]: Handshake was successful 2016.09.21 14:53:04 LOG5[25176:140209395611392]: PerformClientHandshake finish 2016.09.21 14:53:04 LOG5[25176:140209395611392]: Verify_level = 0, skipping Server certificate verification 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG5[25176:140209395611392]: SSPI_write start 2016.09.21 14:53:04 LOG7[25176:140209395611392]: SSPI_write data is POST 2016.09.21 14:53:04 LOG7[25176:140209395611392]: actualy send 13000 byte of encypt data 2016.09.21 14:53:04 LOG7[25176:140209395611392]: data send to ssl_socket =16379 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG5[25176:140209395611392]: SSPI_write start 2016.09.21 14:53:04 LOG7[25176:140209395611392]: SSPI_write data is dDI9 2016.09.21 14:53:04 LOG7[25176:140209395611392]: send all data after encrypt 2016.09.21 14:53:04 LOG7[25176:140209395611392]: data send to ssl_socket =16379 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG5[25176:140209395611392]: SSPI_write start 2016.09.21 14:53:04 LOG7[25176:140209395611392]: SSPI_write data is //// 2016.09.21 14:53:04 LOG7[25176:140209395611392]: send all data after encrypt 2016.09.21 14:53:04 LOG7[25176:140209395611392]: data send to ssl_socket =3449 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG7[25176:140209395611392]: SSPI_read start 2016.09.21 14:53:04 LOG7[25176:140209395611392]: recv ok on SSPI_read err= 11 2016.09.21 14:53:04 LOG5[25176:140209395611392]: Received 11 bytes from ssl socket 2016.09.21 14:53:04 LOG3[25176:140209395611392]: Couldn't decrypt, error 0x8009030f 2016.09.21 14:53:04 LOG3[25176:140209395611392]: error on SSPI_read 2016.09.21 14:53:04 LOG5[25176:140209395611392]: Connection reset: 36207 byte(s) sent to SSL, 0 byte(s) sent to socket 2016.09.21 14:53:04 LOG7[25176:140209395611392]: free Buffers 2016.09.21 14:53:04 LOG7[25176:140209395611392]: delete c->hContext 2016.09.21 14:53:04 LOG7[25176:140209395611392]: delete c->hClientCreds 2016.09.21 14:53:04 LOG5[25176:140209395611392]: incomp_mess = 1, extra_data = 1 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Remote socket (FD=15) closed 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Local socket (FD=4) closed 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Service [https] finished (0 left) 2016.09.21 14:53:55 LOG7[25176:140209470039936]: Dispatching signals from the signal pipe 2016.09.21 14:53:55 LOG3[25176:140209470039936]: Received signal 2; terminating 2016.09.21 14:53:55 LOG7[25176:140209470039936]: Closing service [https] 2016.09.21 14:53:55 LOG7[25176:140209470039936]: Service [https] closed (FD=9) 2016.09.21 14:53:55 LOG7[25176:140209470039936]: Service [https] closed 2016.09.21 14:53:55 LOG7[25176:140209470039936]: removing pid file /var/tmp/stunnel.pid
При этом в 3.9 с теми же настройками и сертификатами абсолютно всё в порядке.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
Есть одно предположение, возможно в новой версии CSP 4.0 проблема исправлена - выложим на днях. |
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз
|
Проверил на 4.0.9797, ошибка осталась.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
А можете поставить в 4.0 пакет stunnel от 3.9? Или просто бинарник заменить. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз
|
Автор: olin А можете поставить в 4.0 пакет stunnel от 3.9? Попробовал: Код:./stunnel_thread: error while loading shared libraries: libpkivalidator.so.4: cannot open shared object file: No such file or directory
Отредактировано пользователем 28 сентября 2016 г. 14:12:28(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
Помогите ещё, пожалуйста, а то без ключей мы можем проверить на int223.zakupki.gov.ru только установление соединения. Надо достать из lsb-cprocsp-capilite-64-3.9.0-4.x86_64.rpm в какую-нибудь папку (например, /tmp/libs):
- libasn1data.so.4.0.3
- libocsp.so.4.0.3
- libpkivalidator.so.4.0.3
Сделать символические ссылки: Код:ln -s /tmp/libs/libasn1data.so.4.0.3 /tmp/libs/libasn1data.so.4
ln -s /tmp/libs/libocsp.so.4.0.3 /tmp/libs/libocsp.so.4
ln -s /tmp/libs/libpkivalidator.so.4.0.3 /tmp/libs/libpkivalidator.so.4
Добавить эту папку в ld: Код:echo /tmp/libs > /etc/ld.so.conf.d/test_stunnel_3_9.conf
/sbin/ldconfig -f /etc/ld.so.conf
После этого stunnel из 3.9 должен заработать. |
|
1 пользователь поблагодарил Русев Андрей за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз
|
Автор: olin После этого stunnel из 3.9 должен заработать. Проверил, работает Данные отправляются, ошибок в логе нет.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 28.03.2019(UTC) Сообщений: 5
|
Здравствуйте, подскажите, не решилась ли эта проблем? У меня аналогичная проблема в связи с обновлением станций с криптопро 3.6 на 4.0(9963) для построения тунеля от локального сервера к локальным клиентам. В версии 9963 из коробки stunnel не работает, при необходимости могу выложить логи. Подкидываю бинарник stunnel_thread от версии 3.6, библиотеки libasn1data.so,libocsp.so,libpkivalidator.so, libjemalloc.so.0, ldconfig > начинает работать. Но после перезагрузки станций эти бинарники переиминовываются в stunnel_thread.corrupted Станций в общей сложности более 700, и хотелось бы, чтобы версия работала "из коробки". Прошу помощи. Автор: Русев Андрей Помогите ещё, пожалуйста, а то без ключей мы можем проверить на int223.zakupki.gov.ru только установление соединения. Надо достать из lsb-cprocsp-capilite-64-3.9.0-4.x86_64.rpm в какую-нибудь папку (например, /tmp/libs):
- libasn1data.so.4.0.3
- libocsp.so.4.0.3
- libpkivalidator.so.4.0.3
Сделать символические ссылки: Код:ln -s /tmp/libs/libasn1data.so.4.0.3 /tmp/libs/libasn1data.so.4
ln -s /tmp/libs/libocsp.so.4.0.3 /tmp/libs/libocsp.so.4
ln -s /tmp/libs/libpkivalidator.so.4.0.3 /tmp/libs/libpkivalidator.so.4
Добавить эту папку в ld: Код:echo /tmp/libs > /etc/ld.so.conf.d/test_stunnel_3_9.conf
/sbin/ldconfig -f /etc/ld.so.conf
После этого stunnel из 3.9 должен заработать.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271
Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах
|
Было бы здорово получить:
- конфиг stunnel
- краткое описание использования stunnel
- журнал с ошибкой (с stunnel от 4.0)
- журнал с успехом (с stunnel от 3.6)
Бинарники переименовываются нашей системой контроля целостности. Запустить проверку целостности с руки можно так: Код:/etc/init.d/cprocsp check
В тестовых (!) целях можно пересчитать хэш соответствующего файла и положить его в таблицу для проверок: Код:[user@test-x64-centos72 ~]$ /opt/cprocsp/bin/amd64/cpverify -mk -alg GR3411_2012_256 /opt/cprocsp/sbin/amd64/stunnel_thread
96A23255F1DD7A620AAEF04CCE50B586045396C29E4DD049E5F3D2EEA96E79A8
[user@test-x64-centos72 ~]$ grep -F stunnel_thread /opt/cprocsp/lib/hashes/cprocsp-stunnel-64
//opt/cprocsp/sbin/amd64/stunnel_thread 96A23255F1DD7A620AAEF04CCE50B586045396C29E4DD049E5F3D2EEA96E79A8
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close