logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Alexandertlt  
#1 Оставлено : 6 декабря 2019 г. 12:44:09(UTC)
Alexandertlt

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Tolyatti

Добрый день!

Переустановили сертификат, с которым раньше все работало. Обновили отпечаток в stunnel.conf. Теперь у нас возникает ошибка на клиенте.

Лог:
SNI: sending servername: justsign.me
msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket

Настройки:
setgid = root
setuid = root
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[justsign.me]
client = yes
accept = 4431
connect = justsign.me:4430
cert = 0c5cac4edc7c02faea86862344abf32fb7c34606
verify = 2

Подскажите, в каких случая возникает эта ошибка? Куда копать?

Спасибо!
Offline Дмитрий Пичулин  
#2 Оставлено : 6 декабря 2019 г. 13:08:34(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 951
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Alexandertlt Перейти к цитате
Добрый день!

Переустановили сертификат, с которым раньше все работало. Обновили отпечаток в stunnel.conf. Теперь у нас возникает ошибка на клиенте.

Лог:
SNI: sending servername: justsign.me
msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket

Настройки:
setgid = root
setuid = root
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[justsign.me]
client = yes
accept = 4431
connect = justsign.me:4430
cert = 0c5cac4edc7c02faea86862344abf32fb7c34606
verify = 2

Подскажите, в каких случая возникает эта ошибка? Куда копать?

Спасибо!

Функция msspi_set_mycert_options() тестирует сертификат на пригодность к использованию (есть/доступен закрытый ключ, пин подходит или отсутствует, лицензия в порядке).

Проверьте, что ваш сертификат и закрытый ключ функционируют штатно безотносительно stunnel.

Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#3 Оставлено : 6 декабря 2019 г. 13:55:39(UTC)
Alexandertlt

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Tolyatti

Да, сертификат функционирует. Он сейчас успешно используется при подписывании cryptcp -sign

Сертификат устанавливали командой certmgr -install -store uRoot -container '\\.\HDIMAGE\68aed30e-d646-4abf-af67-49a77b6de03e' -file 2.cer

Как еще можно проверить?

Serial : 0x01D4ACA513533AF0000000062F620001
SHA1 Hash : 0c5cac4edc7c02faea86862344abf32fb7c34606
SubjKeyID : 85dc960f502d92cadfed745674ae8f2c030b8f90
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/01/2019 07:36:13 UTC
Not valid after : 15/01/2020 07:36:13 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\68aed30e.000\24AF
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0

Отредактировано пользователем 6 декабря 2019 г. 14:07:02(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#4 Оставлено : 6 декабря 2019 г. 14:27:25(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 951
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Alexandertlt Перейти к цитате
Да, сертификат функционирует. Он сейчас успешно используется при подписывании cryptcp -sign

Сертификат устанавливали командой certmgr -install -store uRoot -container '\\.\HDIMAGE\68aed30e-d646-4abf-af67-49a77b6de03e' -file 2.cer

Как еще можно проверить?

Serial : 0x01D4ACA513533AF0000000062F620001
SHA1 Hash : 0c5cac4edc7c02faea86862344abf32fb7c34606
SubjKeyID : 85dc960f502d92cadfed745674ae8f2c030b8f90
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/01/2019 07:36:13 UTC
Not valid after : 15/01/2020 07:36:13 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\68aed30e.000\24AF
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0

Это всё от рута происходит?

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#5 Оставлено : 6 декабря 2019 г. 14:32:51(UTC)
Alexandertlt

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Tolyatti

Автор: Дмитрий Пичулин Перейти к цитате

Это всё от рута происходит?

Да
Автор: Дмитрий Пичулин Перейти к цитате

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.

Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?

Offline Дмитрий Пичулин  
#6 Оставлено : 6 декабря 2019 г. 14:36:05(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 951
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Alexandertlt Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

Это всё от рута происходит?

Да
Автор: Дмитрий Пичулин Перейти к цитате

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.

Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?


Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy.
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#7 Оставлено : 6 декабря 2019 г. 14:38:50(UTC)
Alexandertlt

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Tolyatti

Автор: Дмитрий Пичулин Перейти к цитате
Автор: Alexandertlt Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

Это всё от рута происходит?

Да
Автор: Дмитрий Пичулин Перейти к цитате

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.

Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?


Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy.


Этот же сертификат так же есть в списке uMy.
certmgr -list -store uMy

Поясню, если я правильно помню.
Изначально сертификат был в хранилище uMy, потом повторно сделали certmgr -install -store uRoot

Отредактировано пользователем 6 декабря 2019 г. 14:42:13(UTC)  | Причина: дополнение

Offline Дмитрий Пичулин  
#8 Оставлено : 6 декабря 2019 г. 14:43:40(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 951
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Alexandertlt Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Alexandertlt Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

Это всё от рута происходит?

Да
Автор: Дмитрий Пичулин Перейти к цитате

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.

Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?


Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy.


Этот же сертификат так же есть в списке uMy.
certmgr -list -store uMy

Поясню, если я правильно помню.
Изначально сертификат был в хранилище uMy, потом повторно сделали certmgr -install -store uRoot

Сделайте повторно в uMy.
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#9 Оставлено : 6 декабря 2019 г. 17:44:44(UTC)
Alexandertlt

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Tolyatti

Установил повторно. Ошибка повторяется.
Процесс установки был такой:
1. В Windows из файла .pfx экспортировал контейнер
Получилась папка 6ae526f8.000 с файлами header.key, masks.key и проч. .key

2. Эту папку копирую в каталог /var/opt/cprocsp/keys/root/

3. Смотрю что контейнер появился в списке: csptest -keyset -enum_containers -verifycontext

4. Сертификат 2.cer в текущем каталоге. Запускаю:
certmgr -install -store uMy -container '\\.\HDIMAGE\6ae526f8-379e-4569-adbb-01d2ebf5a5de' -file 2.cer

выполняется без ошибок [ErrorCode: 0x00000000]

5. Перезапускаю stunnel: service stunnel-msspi restart

6. Ошибка повторяется((

msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")


Что еще можно сделать?
Offline Дмитрий Пичулин  
#10 Оставлено : 6 декабря 2019 г. 17:47:42(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 951
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Alexandertlt Перейти к цитате
Установил повторно. Ошибка повторяется.
Процесс установки был такой:
1. В Windows из файла .pfx экспортировал контейнер
Получилась папка 6ae526f8.000 с файлами header.key, masks.key и проч. .key

2. Эту папку копирую в каталог /var/opt/cprocsp/keys/root/

3. Смотрю что контейнер появился в списке: csptest -keyset -enum_containers -verifycontext

4. Сертификат 2.cer в текущем каталоге. Запускаю:
certmgr -install -store uMy -container '\\.\HDIMAGE\6ae526f8-379e-4569-adbb-01d2ebf5a5de' -file 2.cer

выполняется без ошибок [ErrorCode: 0x00000000]

5. Перезапускаю stunnel: service stunnel-msspi restart

6. Ошибка повторяется((

msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")


Что еще можно сделать?

Давайте по вот этой инструкции посмотрим лог: https://www.cryptopro.ru...&m=103456#post103456

Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#11 Оставлено : 6 декабря 2019 г. 17:59:10(UTC)
Alexandertlt

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Tolyatti

Сделал по инструкции. Вот лог /var/log/messages

LOG5[1]: Service [justsign.me] accepted connection from 127.0.0.1:50594
Dec 6 17:51:50 vm133542 stunnel: LOG6[1]: s_connect: connecting 193.37.157.28:4430
Dec 6 17:51:50 vm133542 stunnel: LOG5[1]: s_connect: connected 193.37.157.28:4430
Dec 6 17:51:50 vm133542 stunnel: LOG5[1]: Service [justsign.me] connected remote server from 176.112.211.170:40442
Dec 6 17:51:50 vm133542 stunnel: LOG6[1]: SNI: sending servername: justsign.me
Dec 6 17:51:50 vm133542 stunnel: cpcsp: CompleteUserKey key_carrier_get_material_with_public fail
Dec 6 17:51:50 vm133542 stunnel: LOG3[1]: msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Dec 6 17:51:50 vm133542 stunnel: LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket

Offline Дмитрий Пичулин  
#12 Оставлено : 6 декабря 2019 г. 18:07:27(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 951
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Alexandertlt Перейти к цитате
Сделал по инструкции. Вот лог /var/log/messages

LOG5[1]: Service [justsign.me] accepted connection from 127.0.0.1:50594
Dec 6 17:51:50 vm133542 stunnel: LOG6[1]: s_connect: connecting 193.37.157.28:4430
Dec 6 17:51:50 vm133542 stunnel: LOG5[1]: s_connect: connected 193.37.157.28:4430
Dec 6 17:51:50 vm133542 stunnel: LOG5[1]: Service [justsign.me] connected remote server from 176.112.211.170:40442
Dec 6 17:51:50 vm133542 stunnel: LOG6[1]: SNI: sending servername: justsign.me
Dec 6 17:51:50 vm133542 stunnel: cpcsp: CompleteUserKey key_carrier_get_material_with_public fail
Dec 6 17:51:50 vm133542 stunnel: LOG3[1]: msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Dec 6 17:51:50 vm133542 stunnel: LOG5[1]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket


Какая-то беда с контейнером.

Запускаем и находим имя проблемного контейнера (container_name):

Код:
/opt/cprocsp/bin/amd64/csptest -keys -enum -verifyco


Тестируем контейнер (container_name):

Код:
/opt/cprocsp/bin/amd64/csptest -keys -check -cont container_name
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#13 Оставлено : 6 декабря 2019 г. 19:41:22(UTC)
Alexandertlt

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Tolyatti

/opt/cprocsp/bin/amd64/csptest -keys -check -cont 6ae526f8-379e-4569-adbb-01d2ebf5a5de

CSP (Type:80) v4.0.9019 KC1 Release Ver:4.0.9963 OS:Linux CPU:AMD64 FastCode:READY:AVX.
AcquireContext: OK. HCRYPTPROV: 39431171
GetProvParam(PP_NAME): Crypto-Pro GOST R 34.10-2012 KC1 CSP
Container name: "6ae526f8-379e-4569-adbb-01d2ebf5a5de"
Check header passed.
Signature key is not available.
Exchange key is available. HCRYPTKEY: 0x25c6fb3
uec key is not available.
CryptoPro CSP: Type password for container "6ae526f8-379e-4569-adbb-01d2ebf5a5de"
Password:
Check container passed.
Check sign passed.
Check verify signature on private key passed.
Check verify signature on public key passed.
Check import passed.
Keys in container:
exchange key
Extensions:
OID: 1.2.643.2.2.37.3.10
PrivKey: Not specified - 06.03.2021 14:16:20 (UTC)
Total: SYS: 0.010 sec USR: 0.050 sec UTC: 8.780 sec
[ErrorCode: 0x00000000]

Правильно я понял, что почему-то нет приватного ключа?

Вот так создавалась папка контейнера:
UserPostedImage

Версия КриптоПро 4.0.9963

Отредактировано пользователем 6 декабря 2019 г. 19:42:26(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#14 Оставлено : 6 декабря 2019 г. 23:18:54(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 951
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: Alexandertlt Перейти к цитате
/opt/cprocsp/bin/amd64/csptest -keys -check -cont 6ae526f8-379e-4569-adbb-01d2ebf5a5de
...
CryptoPro CSP: Type password for container "6ae526f8-379e-4569-adbb-01d2ebf5a5de"
Password:
...
[ErrorCode: 0x00000000]

Очень интересно, то есть у вас стоит пароль на контейнер?

При этом вы не указываете его в stunnel, хотя в логе ошибки это явно логгируется: pin = ""

Также вы изначально утверждали, что просто сменили сертификат, но установка пароля является важным изменением системы, где до этого не было пароля на контейнере.

Решение: либо удалить пароль, либо закэшировать пароль, либо прописать его в конфигурацию stunnel.
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#15 Оставлено : 8 декабря 2019 г. 18:35:23(UTC)
Alexandertlt

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 8
Российская Федерация
Откуда: Tolyatti

Спасибо. Решение помогло.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.