Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Holmax  
#1 Оставлено : 21 ноября 2018 г. 12:41:11(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13

Добрый день!

Подскажите, почему stunnel не подключается к ГИС ЖКХ.
Сделал все по инструкции https://support.cryptopr...dgebase/Article/View/206
Но получаю следующую ошибку

2018.11.21 12:35:45 LOG7[28268:19020]: https accepted FD=584 from ::1:56034
2018.11.21 12:35:45 LOG7[28268:19020]: Creating a new thread
2018.11.21 12:35:45 LOG7[28268:19020]: New thread created
2018.11.21 12:35:45 LOG7[28268:15608]: client start
2018.11.21 12:35:45 LOG7[28268:15608]: https started
2018.11.21 12:35:45 LOG7[28268:15608]: FD 584 in non-blocking mode
2018.11.21 12:35:45 LOG7[28268:15608]: TCP_NODELAY option set on local socket
2018.11.21 12:35:45 LOG5[28268:15608]: https connected from ::1:56034
2018.11.21 12:35:45 LOG7[28268:15608]: FD 672 in non-blocking mode
2018.11.21 12:35:45 LOG7[28268:15608]: https connecting
2018.11.21 12:35:45 LOG7[28268:15608]: connect_wait: waiting 10 seconds
2018.11.21 12:35:45 LOG7[28268:15608]: connect_wait: connected
2018.11.21 12:35:45 LOG7[28268:15608]: Remote FD=672 initialized
2018.11.21 12:35:45 LOG7[28268:15608]: TCP_NODELAY option set on remote socket
2018.11.21 12:35:45 LOG7[28268:15608]: start SSPI connect
2018.11.21 12:35:45 LOG5[28268:15608]: try to read the client certificate
2018.11.21 12:35:45 LOG7[28268:15608]: open file D:\Projects\Test\eirc_2.cer with certificate
2018.11.21 12:35:45 LOG5[28268:15608]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2018.11.21 12:35:45 LOG3[28268:15608]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2018.11.21 12:35:45 LOG3[28268:15608]: Credentials complete
2018.11.21 12:35:45 LOG3[28268:15608]: Error creating credentials
2018.11.21 12:35:45 LOG5[28268:15608]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2018.11.21 12:35:45 LOG7[28268:15608]: free Buffers
2018.11.21 12:35:45 LOG7[28268:15608]: delete c->hContext
2018.11.21 12:35:45 LOG7[28268:15608]: delete c->hClientCreds
2018.11.21 12:35:45 LOG5[28268:15608]: incomp_mess = 0, extra_data = 0
2018.11.21 12:35:45 LOG7[28268:15608]: https finished (0 left)
Offline Дмитрий Пичулин  
#2 Оставлено : 21 ноября 2018 г. 12:47:06(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Holmax Перейти к цитате
Сделал все по инструкции https://support.cryptopr...dgebase/Article/View/206
Но получаю следующую ошибку

2018.11.21 12:35:45 LOG7[28268:15608]: open file D:\Projects\Test\eirc_2.cer with certificate
2018.11.21 12:35:45 LOG5[28268:15608]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2018.11.21 12:35:45 LOG3[28268:15608]: **** Error 0x80090304 returned by AcquireCredentialsHandle


С лицензиями порядок? Сертификат в хранилище имеется? Соответствующий закрытый ключ доступен?
Знания в базе знаний, поддержка в техподдержке
Offline Holmax  
#3 Оставлено : 21 ноября 2018 г. 13:07:37(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13

Лицензия триальная, заканчивается в январе 2019

Цитата:
Сертификат в хранилище имеется? Соответствующий закрытый ключ доступен?


В криптопро csp в сервисе сертификаты показывает.

Offline Дмитрий Пичулин  
#4 Оставлено : 21 ноября 2018 г. 13:19:36(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Holmax Перейти к цитате
Сделал все по инструкции https://support.cryptopr...dgebase/Article/View/206

Правильно ли, что проблемы только на 9 пункте, а пункты с 1 по 8 пройдены без ошибок?

Знания в базе знаний, поддержка в техподдержке
Offline Holmax  
#5 Оставлено : 21 ноября 2018 г. 13:28:55(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13

Цитата:
Правильно ли, что проблемы только на 9 пункте, а пункты с 1 по 8 пройдены без ошибок?


Да. на 9 пункте я пытаюсь соединиться с тестовым сервером ГИС.

Вот конфиг stunnel:

output=D:\Projects\Test\stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[https]
client = yes
accept=localhost:10081
connect = 217.107.108.156:10081
cert=D:\Projects\Test\eirc_2.cer
verify=2
Offline Дмитрий Пичулин  
#6 Оставлено : 21 ноября 2018 г. 13:35:43(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Holmax Перейти к цитате
Цитата:
Правильно ли, что проблемы только на 9 пункте, а пункты с 1 по 8 пройдены без ошибок?


Да. на 9 пункте я пытаюсь соединиться с тестовым сервером ГИС.

Вот конфиг stunnel:

output=D:\Projects\Test\stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[https]
client = yes
accept=localhost:10081
connect = 217.107.108.156:10081
cert=D:\Projects\Test\eirc_2.cer
verify=2

Ваше "да" значит вы успешно соединились с тестовым стендом и не было проблем?

При этом пункт 5 в полном объёме повторён для сертификата для ГИС?
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#7 Оставлено : 21 ноября 2018 г. 13:53:18(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
С проблемой наверно не связано судя по ошибке, но в инструкции не увидел. С некоторого момента нельзя подключиться к гис жкх с произвольного адреса. Нужно сначала отправлять свой айпи службе поддержки гис жкх, чтобы айпи внесли в белый список.

По проблеме - сертификат в формате base64 или нет? Установлен ли пин-код на контейнер? stunnel или stunnel-msspi? Мне пришлось прописать пин-код в файле конфигурации, потому что иначе была именно такая ошибка.
Offline Holmax  
#8 Оставлено : 21 ноября 2018 г. 14:19:59(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13

Автор: Дмитрий Пичулин Перейти к цитате
Цитата:
Правильно ли, что проблемы только на 9 пункте, а пункты с 1 по 8 пройдены без ошибок?
Ваше "да" значит вы успешно соединились с тестовым стендом и не было проблем?

При этом пункт 5 в полном объёме повторён для сертификата для ГИС?


Нет, с тестовым сервером я как раз и не могу соединиться. В 8 пункте написано, как службу запускать/останавливать, поэтому я и сказал, что с ним все ок.

Цитата:

С проблемой наверно не связано судя по ошибке, но в инструкции не увидел. С некоторого момента нельзя подключиться к гис жкх с произвольного адреса. Нужно сначала отправлять свой айпи службе поддержки гис жкх, чтобы айпи внесли в белый список.


IP подали.
Цитата:

По проблеме - сертификат в формате base64 или нет?


Сертификат как в инструкции в формате DER.

Цитата:
Установлен ли пин-код на контейнер? stunnel или stunnel-msspi? Мне пришлось прописать пин-код в файле конфигурации, потому что иначе была именно такая ошибка.


stunnel. Без пароля

Отредактировано пользователем 21 ноября 2018 г. 14:27:23(UTC)  | Причина: Не указана

Offline Holmax  
#9 Оставлено : 21 ноября 2018 г. 15:59:25(UTC)
Holmax

Статус: Участник

Группы: Участники
Зарегистрирован: 21.11.2018(UTC)
Сообщений: 13

Попробовал еще с одним сертификатом, получил такую ошибку:

2018.11.21 15:45:57 LOG7[8576:4616]: start SSPI connect
2018.11.21 15:45:57 LOG5[8576:4616]: try to read the client certificate
2018.11.21 15:45:57 LOG7[8576:4616]: open file D:\Projects\Test\eirc_1.cer with certificate
2018.11.21 15:45:57 LOG5[8576:4616]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2018.11.21 15:45:57 LOG3[8576:4616]: Credentials complete
2018.11.21 15:45:57 LOG7[8576:4616]: 105 bytes of handshake data sent
2018.11.21 15:45:57 LOG5[8576:4616]: 1460 bytes of handshake(in handshake loop) data received.
2018.11.21 15:45:57 LOG5[8576:4616]: 1871 bytes of handshake(in handshake loop) data received.
2018.11.21 15:45:57 LOG5[8576:4616]: 2743 bytes of handshake data sent
2018.11.21 15:45:57 LOG5[8576:4616]: 1460 bytes of handshake(in handshake loop) data received.
2018.11.21 15:45:57 LOG5[8576:4616]: 1242 bytes of handshake(in handshake loop) data received.
2018.11.21 15:45:57 LOG5[8576:4616]: Handshake was successful
2018.11.21 15:45:57 LOG5[8576:4616]: PerformClientHandshake finish
2018.11.21 15:45:57 LOG5[8576:4616]: Server subject: C
2018.11.21 15:45:57 LOG5[8576:4616]: Server issuer:  =
2018.11.21 15:45:57 LOG5[8576:4616]: CA subject:  =
2018.11.21 15:45:57 LOG5[8576:4616]: CA issuer:  =
2018.11.21 15:45:57 LOG5[8576:4616]: No error on CertGetCertificateChain
2018.11.21 15:45:57 LOG3[8576:4616]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2018.11.21 15:45:57 LOG3[8576:4616]: Error 0x800b010f returned by VerifyCertChain
2018.11.21 15:45:57 LOG3[8576:4616]: **** Error 0x800b010f authenticating server credentials!
2018.11.21 15:45:57 LOG5[8576:4616]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2018.11.21 15:45:57 LOG7[8576:4616]: free Buffers
2018.11.21 15:45:57 LOG7[8576:4616]: delete c->hContext
2018.11.21 15:45:57 LOG7[8576:4616]: delete c->hClientCreds
2018.11.21 15:45:57 LOG5[8576:4616]: incomp_mess = 0, extra_data = 1
2018.11.21 15:45:57 LOG7[8576:4616]: https finished (0 left)
Offline Дмитрий Пичулин  
#10 Оставлено : 21 ноября 2018 г. 16:13:16(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Holmax Перейти к цитате
Попробовал еще с одним сертификатом, получил такую ошибку:

2018.11.21 15:45:57 LOG7[8576:4616]: start SSPI connect
2018.11.21 15:45:57 LOG5[8576:4616]: try to read the client certificate
2018.11.21 15:45:57 LOG7[8576:4616]: open file D:\Projects\Test\eirc_1.cer with certificate
2018.11.21 15:45:57 LOG5[8576:4616]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2018.11.21 15:45:57 LOG3[8576:4616]: Credentials complete
2018.11.21 15:45:57 LOG7[8576:4616]: 105 bytes of handshake data sent
2018.11.21 15:45:57 LOG5[8576:4616]: 1460 bytes of handshake(in handshake loop) data received.
2018.11.21 15:45:57 LOG5[8576:4616]: 1871 bytes of handshake(in handshake loop) data received.
2018.11.21 15:45:57 LOG5[8576:4616]: 2743 bytes of handshake data sent
2018.11.21 15:45:57 LOG5[8576:4616]: 1460 bytes of handshake(in handshake loop) data received.
2018.11.21 15:45:57 LOG5[8576:4616]: 1242 bytes of handshake(in handshake loop) data received.
2018.11.21 15:45:57 LOG5[8576:4616]: Handshake was successful
2018.11.21 15:45:57 LOG5[8576:4616]: PerformClientHandshake finish
2018.11.21 15:45:57 LOG5[8576:4616]: Server subject: C
2018.11.21 15:45:57 LOG5[8576:4616]: Server issuer:  =
2018.11.21 15:45:57 LOG5[8576:4616]: CA subject:  =
2018.11.21 15:45:57 LOG5[8576:4616]: CA issuer:  =
2018.11.21 15:45:57 LOG5[8576:4616]: No error on CertGetCertificateChain
2018.11.21 15:45:57 LOG3[8576:4616]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2018.11.21 15:45:57 LOG3[8576:4616]: Error 0x800b010f returned by VerifyCertChain
2018.11.21 15:45:57 LOG3[8576:4616]: **** Error 0x800b010f authenticating server credentials!
2018.11.21 15:45:57 LOG5[8576:4616]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2018.11.21 15:45:57 LOG7[8576:4616]: free Buffers
2018.11.21 15:45:57 LOG7[8576:4616]: delete c->hContext
2018.11.21 15:45:57 LOG7[8576:4616]: delete c->hClientCreds
2018.11.21 15:45:57 LOG5[8576:4616]: incomp_mess = 0, extra_data = 1
2018.11.21 15:45:57 LOG7[8576:4616]: https finished (0 left)


Ошибка проверки сертификата удалённой стороны не является ошибкой stunnel, напротив, его нормальное поведение при проблемах с сертификатом на удалённой стороне. Изучите "CERT_E_CN_NO_MATCH".

Или используйте verify = 0.

Отредактировано пользователем 21 ноября 2018 г. 16:13:50(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.