Stunnel в КриптоПро 4.0

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

Stunnel в КриптоПро 4.0

Опции

Предыдущая тема Следующая тема

Detuner		#1 Оставлено : 21 сентября 2016 г. 15:10:41(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз		Здравствуйте! Планирую переход с CSP 3.9 на 4.0, настроил тестовый сервер. ОС Debian 8.6, КриптоПро CSP 4.0.9708. Скопировал на него с боевого сервера на 3.9 все сертификаты а также конфиг stunnel: pid = /var/tmp/stunnel.pid output = /var/log/stunnel/stunnel.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 foreground = yes setuid = root setgid = root ;chroot = {$prefix}/usr/local/var/lib/stunnel/ ;compression = rle [https] CAfile = /etc/opt/cprocsp/cert/tensstun.cer cert = /etc/opt/cprocsp/cert/client.cer verify = 0 client = yes accept = 223 connect = int223.zakupki.gov.ru:443 Stunnel запускается, но при попытке отправки данных в лог валятся вот такие ошибки: 2016.09.21 14:53:03 LOG7[25176:140209470039936]: Service [https] accepted (FD=4) from 192.168.152.254:33052 2016.09.21 14:53:03 LOG7[25176:140209395611392]: client start 2016.09.21 14:53:03 LOG7[25176:140209395611392]: Service [https] started 2016.09.21 14:53:03 LOG5[25176:140209395611392]: Service [https] accepted connection from 192.168.152.254:33052 2016.09.21 14:53:03 LOG6[25176:140209395611392]: s_connect: connecting 194.105.148.92:443 2016.09.21 14:53:03 LOG7[25176:140209395611392]: s_connect: s_poll_wait 194.105.148.92:443: waiting 10 seconds 2016.09.21 14:53:03 LOG5[25176:140209395611392]: s_connect: connected 194.105.148.92:443 2016.09.21 14:53:03 LOG5[25176:140209395611392]: Service [https] connected remote server from 192.168.170.210:59741 2016.09.21 14:53:03 LOG7[25176:140209395611392]: Remote socket (FD=15) initialized 2016.09.21 14:53:03 LOG7[25176:140209395611392]: start SSPI connect 2016.09.21 14:53:03 LOG5[25176:140209395611392]: try to read the client certificate 2016.09.21 14:53:03 LOG7[25176:140209395611392]: open file /etc/opt/cprocsp/cert/client.cer with certificate 2016.09.21 14:53:04 LOG3[25176:140209395611392]: Credentials complete 2016.09.21 14:53:04 LOG7[25176:140209395611392]: 101 bytes of handshake data sent 2016.09.21 14:53:04 LOG5[25176:140209395611392]: 1300 bytes of handshake(in handshake loop) data received. 2016.09.21 14:53:04 LOG5[25176:140209395611392]: 1053 bytes of handshake(in handshake loop) data received. 2016.09.21 14:53:04 LOG5[25176:140209395611392]: 210 bytes of handshake data sent 2016.09.21 14:53:04 LOG5[25176:140209395611392]: 31 bytes of handshake(in handshake loop) data received. 2016.09.21 14:53:04 LOG5[25176:140209395611392]: Handshake was successful 2016.09.21 14:53:04 LOG5[25176:140209395611392]: PerformClientHandshake finish 2016.09.21 14:53:04 LOG5[25176:140209395611392]: Verify_level = 0, skipping Server certificate verification 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG5[25176:140209395611392]: SSPI_write start 2016.09.21 14:53:04 LOG7[25176:140209395611392]: SSPI_write data is POST 2016.09.21 14:53:04 LOG7[25176:140209395611392]: actualy send 13000 byte of encypt data 2016.09.21 14:53:04 LOG7[25176:140209395611392]: data send to ssl_socket =16379 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG5[25176:140209395611392]: SSPI_write start 2016.09.21 14:53:04 LOG7[25176:140209395611392]: SSPI_write data is dDI9 2016.09.21 14:53:04 LOG7[25176:140209395611392]: send all data after encrypt 2016.09.21 14:53:04 LOG7[25176:140209395611392]: data send to ssl_socket =16379 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG5[25176:140209395611392]: SSPI_write start 2016.09.21 14:53:04 LOG7[25176:140209395611392]: SSPI_write data is //// 2016.09.21 14:53:04 LOG7[25176:140209395611392]: send all data after encrypt 2016.09.21 14:53:04 LOG7[25176:140209395611392]: data send to ssl_socket =3449 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Enter pool section on transfer 2016.09.21 14:53:04 LOG7[25176:140209395611392]: SSPI_read start 2016.09.21 14:53:04 LOG7[25176:140209395611392]: recv ok on SSPI_read err= 11 2016.09.21 14:53:04 LOG5[25176:140209395611392]: Received 11 bytes from ssl socket 2016.09.21 14:53:04 LOG3[25176:140209395611392]: Couldn't decrypt, error 0x8009030f 2016.09.21 14:53:04 LOG3[25176:140209395611392]: error on SSPI_read 2016.09.21 14:53:04 LOG5[25176:140209395611392]: Connection reset: 36207 byte(s) sent to SSL, 0 byte(s) sent to socket 2016.09.21 14:53:04 LOG7[25176:140209395611392]: free Buffers 2016.09.21 14:53:04 LOG7[25176:140209395611392]: delete c->hContext 2016.09.21 14:53:04 LOG7[25176:140209395611392]: delete c->hClientCreds 2016.09.21 14:53:04 LOG5[25176:140209395611392]: incomp_mess = 1, extra_data = 1 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Remote socket (FD=15) closed 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Local socket (FD=4) closed 2016.09.21 14:53:04 LOG7[25176:140209395611392]: Service [https] finished (0 left) 2016.09.21 14:53:55 LOG7[25176:140209470039936]: Dispatching signals from the signal pipe 2016.09.21 14:53:55 LOG3[25176:140209470039936]: Received signal 2; terminating 2016.09.21 14:53:55 LOG7[25176:140209470039936]: Closing service [https] 2016.09.21 14:53:55 LOG7[25176:140209470039936]: Service [https] closed (FD=9) 2016.09.21 14:53:55 LOG7[25176:140209470039936]: Service [https] closed 2016.09.21 14:53:55 LOG7[25176:140209470039936]: removing pid file /var/tmp/stunnel.pid При этом в 3.9 с теми же настройками и сертификатами абсолютно всё в порядке.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Максим Коллегин		#2 Оставлено : 21 сентября 2016 г. 17:03:07(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах		Есть одно предположение, возможно в новой версии CSP 4.0 проблема исправлена - выложим на днях.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#3 Оставлено : 22 сентября 2016 г. 18:15:33(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах		Выложили КриптоПро CSP 4.0.9797 Poincaré.
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Detuner		#4 Оставлено : 23 сентября 2016 г. 10:47:15(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз		Проверил на 4.0.9797, ошибка осталась.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#5 Оставлено : 28 сентября 2016 г. 13:13:15(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах		А можете поставить в 4.0 пакет stunnel от 3.9? Или просто бинарник заменить.
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Detuner		#6 Оставлено : 28 сентября 2016 г. 14:10:28(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз		Автор: olin А можете поставить в 4.0 пакет stunnel от 3.9? Попробовал: Код: `./stunnel_thread: error while loading shared libraries: libpkivalidator.so.4: cannot open shared object file: No such file or directory` Отредактировано пользователем 28 сентября 2016 г. 14:12:28(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#7 Оставлено : 3 октября 2016 г. 16:01:12(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах		Помогите ещё, пожалуйста, а то без ключей мы можем проверить на int223.zakupki.gov.ru только установление соединения. Надо достать из lsb-cprocsp-capilite-64-3.9.0-4.x86_64.rpm в какую-нибудь папку (например, /tmp/libs): libasn1data.so.4.0.3 libocsp.so.4.0.3 libpkivalidator.so.4.0.3 Сделать символические ссылки: Код: `ln -s /tmp/libs/libasn1data.so.4.0.3 /tmp/libs/libasn1data.so.4 ln -s /tmp/libs/libocsp.so.4.0.3 /tmp/libs/libocsp.so.4 ln -s /tmp/libs/libpkivalidator.so.4.0.3 /tmp/libs/libpkivalidator.so.4` Добавить эту папку в ld: Код: `echo /tmp/libs > /etc/ld.so.conf.d/test_stunnel_3_9.conf /sbin/ldconfig -f /etc/ld.so.conf` После этого stunnel из 3.9 должен заработать.
		Официальная техподдержка. Официальная база знаний.

1 пользователь поблагодарил Русев Андрей за этот пост.		Detuner оставлено 04.10.2016(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Detuner		#8 Оставлено : 4 октября 2016 г. 0:33:14(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.11.2013(UTC) Сообщений: 22 Откуда: NNov Сказал(а) «Спасибо»: 6 раз		Автор: olin После этого stunnel из 3.9 должен заработать. Проверил, работает Данные отправляются, ошибок в логе нет.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

D-one		#9 Оставлено : 28 марта 2019 г. 8:45:38(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 28.03.2019(UTC) Сообщений: 5		Здравствуйте, подскажите, не решилась ли эта проблем? У меня аналогичная проблема в связи с обновлением станций с криптопро 3.6 на 4.0(9963) для построения тунеля от локального сервера к локальным клиентам. В версии 9963 из коробки stunnel не работает, при необходимости могу выложить логи. Подкидываю бинарник stunnel_thread от версии 3.6, библиотеки libasn1data.so,libocsp.so,libpkivalidator.so, libjemalloc.so.0, ldconfig > начинает работать. Но после перезагрузки станций эти бинарники переиминовываются в stunnel_thread.corrupted Станций в общей сложности более 700, и хотелось бы, чтобы версия работала "из коробки". Прошу помощи. Автор: Русев Андрей Помогите ещё, пожалуйста, а то без ключей мы можем проверить на int223.zakupki.gov.ru только установление соединения. Надо достать из lsb-cprocsp-capilite-64-3.9.0-4.x86_64.rpm в какую-нибудь папку (например, /tmp/libs): libasn1data.so.4.0.3 libocsp.so.4.0.3 libpkivalidator.so.4.0.3 Сделать символические ссылки: Код: `ln -s /tmp/libs/libasn1data.so.4.0.3 /tmp/libs/libasn1data.so.4 ln -s /tmp/libs/libocsp.so.4.0.3 /tmp/libs/libocsp.so.4 ln -s /tmp/libs/libpkivalidator.so.4.0.3 /tmp/libs/libpkivalidator.so.4` Добавить эту папку в ld: Код: `echo /tmp/libs > /etc/ld.so.conf.d/test_stunnel_3_9.conf /sbin/ldconfig -f /etc/ld.so.conf` После этого stunnel из 3.9 должен заработать.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Русев Андрей		#10 Оставлено : 28 марта 2019 г. 15:48:11(UTC)
Статус: Сотрудник Группы: Администраторы, Участники Зарегистрирован: 16.04.2008(UTC) Сообщений: 1,271 Сказал(а) «Спасибо»: 22 раз Поблагодарили: 446 раз в 325 постах		Было бы здорово получить: конфиг stunnel краткое описание использования stunnel журнал с ошибкой (с stunnel от 4.0) журнал с успехом (с stunnel от 3.6) Бинарники переименовываются нашей системой контроля целостности. Запустить проверку целостности с руки можно так: Код: `/etc/init.d/cprocsp check` В тестовых (!) целях можно пересчитать хэш соответствующего файла и положить его в таблицу для проверок: Код: `[user@test-x64-centos72 ~]$ /opt/cprocsp/bin/amd64/cpverify -mk -alg GR3411_2012_256 /opt/cprocsp/sbin/amd64/stunnel_thread 96A23255F1DD7A620AAEF04CCE50B586045396C29E4DD049E5F3D2EEA96E79A8 [user@test-x64-centos72 ~]$ grep -F stunnel_thread /opt/cprocsp/lib/hashes/cprocsp-stunnel-64 //opt/cprocsp/sbin/amd64/stunnel_thread 96A23255F1DD7A620AAEF04CCE50B586045396C29E4DD049E5F3D2EEA96E79A8`
		Официальная техподдержка. Официальная база знаний.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close