Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline kupriev-ap  
#1 Оставлено : 27 ноября 2019 г. 12:28:45(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Добрый день.
Подскажите, настраиваю клиент для связи с HSM.

Поднимаю по инструкции:
https://support.cryptopr...lient-n-astra-linux-1516

В момент проверки провайдера ошибка:

*@CMP:~/MARK2$ /opt/cprocsp/bin/amd64/csptest -enum -provider "Crypto-Pro GOST R 34.10-2012 Strong HSM CSP" -provtype 81 -info
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x2746 (10054).
Удаленный хост принудительно разорвал существующее подключение.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/enum.c:409:Error during CryptAcquireContext.

Error number 0x2746 (10054).
Удаленный хост принудительно разорвал существующее подключение.
Program is terminating.
[ErrorCode: 0x00002746]


В journalctl:
ноя 27 12:11:32 CMP stunnel_fork[8196]: libssp: CPDeleteSecurityContext bad context pointer!
ноя 27 12:11:32 CMP csptest[8193]: libcspr: read_socket_N read_socket_N: read (fd 4) error: 0x2746
ноя 27 12:11:32 CMP csptest[8193]: libcspr: KChanRecvSock KChanRecvSock: read error: 0x2746
ноя 27 12:11:32 CMP csptest[8193]: libcspr: WireCPTransport : KChanRecvSock error: 0x2746
ноя 27 12:11:32 CMP csptest[8193]: libcspr: CPLookupSession : WireCPBeginSession failed: 0x2746


В логах stunnel пусто.


Сам сервер HSM доступен по телнету:
*@CMP:~$ nc -v 10.10.5.240 1501
Connection to 10.10.5.240 1501 port [tcp/*] succeeded!
*@CMP:~$ nc -v 10.10.5.240 443
Connection to 10.10.5.240 443 port [tcp/https] succeeded!


Проверка TLS:
Offline Александр Лавник  
#2 Оставлено : 27 ноября 2019 г. 12:32:22(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: kupriev-ap Перейти к цитате
Добрый день.
Подскажите, настраиваю клиент для связи с HSM.

Поднимаю по инструкции:
https://support.cryptopr...lient-n-astra-linux-1516

В момент проверки провайдера ошибка:

*@CMP:~/MARK2$ /opt/cprocsp/bin/amd64/csptest -enum -provider "Crypto-Pro GOST R 34.10-2012 Strong HSM CSP" -provtype 81 -info
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/support/getcspparam.c:28:Can not get CSP param: AcquireContext failed.
Error number 0x2746 (10054).
Удаленный хост принудительно разорвал существующее подключение.
An error occurred in running the program.
/dailybuildsbranches/CSP_4_0/CSPbuild/CSP/samples/csptest/enum.c:409:Error during CryptAcquireContext.

Error number 0x2746 (10054).
Удаленный хост принудительно разорвал существующее подключение.
Program is terminating.
[ErrorCode: 0x00002746]


В journalctl:
ноя 27 12:11:32 CMP stunnel_fork[8196]: libssp: CPDeleteSecurityContext bad context pointer!
ноя 27 12:11:32 CMP csptest[8193]: libcspr: read_socket_N read_socket_N: read (fd 4) error: 0x2746
ноя 27 12:11:32 CMP csptest[8193]: libcspr: KChanRecvSock KChanRecvSock: read error: 0x2746
ноя 27 12:11:32 CMP csptest[8193]: libcspr: WireCPTransport : KChanRecvSock error: 0x2746
ноя 27 12:11:32 CMP csptest[8193]: libcspr: CPLookupSession : WireCPBeginSession failed: 0x2746


В логах stunnel пусто.


Сам сервер HSM доступен по телнету:
*@CMP:~$ nc -v 10.10.5.240 1501
Connection to 10.10.5.240 1501 port [tcp/*] succeeded!
*@CMP:~$ nc -v 10.10.5.240 443
Connection to 10.10.5.240 443 port [tcp/https] succeeded!


Проверка TLS:

Здравствуйте.

Установите:

Код:
debug = 7

в конфигурационном файле stunnel, воспроизведите ошибку и приложите лог.
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
kupriev-ap оставлено 13.01.2020(UTC)
Offline Александр Лавник  
#3 Оставлено : 27 ноября 2019 г. 12:33:19(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
И также приложите сам конфигурационный файл stunnel.
Техническую поддержку оказываем тут
Наша база знаний
Offline kupriev-ap  
#4 Оставлено : 27 ноября 2019 г. 12:59:08(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Лог


Конфиг
pid = /var/opt/cprocsp/tmp/stunnel-k2.pid
output = /var/log/stunnel-k2.log
socket = r:TCP_NODELAY=1
debug = 7
for_hsm = yes

[clientk2]
client = yes
connect = 10.10.5.240:1501
accept = /var/opt/cprocsp/tmp/.clientk2
cert = /home/usr/us1r.cer
pincode =11111111
Offline Александр Лавник  
#5 Оставлено : 27 ноября 2019 г. 13:09:05(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: kupriev-ap Перейти к цитате
Лог


Конфиг
pid = /var/opt/cprocsp/tmp/stunnel-k2.pid
output = /var/log/stunnel-k2.log
socket = r:TCP_NODELAY=1
debug = 7
for_hsm = yes

[clientk2]
client = yes
connect = 10.10.5.240:1501
accept = /var/opt/cprocsp/tmp/.clientk2
cert = /home/usr/us1r.cer
pincode =11111111

Судя по логу, не найден сертификат, соответствующий ключу доступа к КриптоПро HSM.

Процесс stunnel_fork запускаете из под root или через sudo?

Приложите вывод команд (от root или через sudo):

Код:
/opt/cprocsp/bin/amd64/certmgr -list

/opt/cprocsp/bin/amd64/certmgr -list -file /home/usr/us1r.cer
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
kupriev-ap оставлено 13.01.2020(UTC)
Offline kupriev-ap  
#6 Оставлено : 27 ноября 2019 г. 13:25:59(UTC)
kupriev-ap

Статус: Участник

Группы: Участники
Зарегистрирован: 27.09.2019(UTC)
Сообщений: 13
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Запускаю из-под пользователя usr:
sudo /opt/cprocsp/sbin/amd64/stunnel_fork

Ну соответственно в диспечере процесс под root:
root 8294 0.0 0.0 82412 5536 ? Ss 12:53 0:00 /opt/cprocsp/sbin/amd64/stunnel_fork

Ну а команды выполняю уже из-под пользователя все.

Команды
Offline Александр Лавник  
#7 Оставлено : 27 ноября 2019 г. 13:52:05(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: kupriev-ap Перейти к цитате
Запускаю из-под пользователя usr:
sudo /opt/cprocsp/sbin/amd64/stunnel_fork

Ну соответственно в диспечере процесс под root:
root 8294 0.0 0.0 82412 5536 ? Ss 12:53 0:00 /opt/cprocsp/sbin/amd64/stunnel_fork

Ну а команды выполняю уже из-под пользователя все.

Команды

Сертификат должен быть установлен для root (то есть из под root или через sudo).

Это написано в 9 пункте инструкции:

Цитата:
9) Установить сертификат ключа доступа с привязкой к ключевому контейнеру:

# /opt/cprocsp/bin/amd64/csptestf -absorb -certs -autoprov


По поводу знака # написано в самом начале инструкции:

Цитата:
Последовательность необходимых действий (команды, начинающиеся с символа #, требуют привилегий root; сам символ # набирать не нужно):
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Александр Лавник за этот пост.
kupriev-ap оставлено 13.01.2020(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.