logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline a.gavrilyuk  
#1 Оставлено : 27 декабря 2019 г. 14:06:52(UTC)
a.gavrilyuk

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.12.2019(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Здравствуйте !

Помогите пожалуйста с вопросом о поднятии через stunnel-msspi соединения протоколу TLS v1.2.

Установил на Windows 7 SP1 последний ( stunnel-5.56-msspi-0.155 ) stunnel-msspi. КриптоПро не установлен.
В режиме sspi клиент stunnel нормально видит сертификаты из Windows store и устанавливает соединение по протоколу TLS v1.0.
В случае, если удаленный хост поддерживает только TLS v1.2 то соединение рвется.

Один из тестировавшихся конфигов stunnel'а:

debug = debug
output = stunnel-clt.log
verify = 2
msspi = yes
[tls12-test]
client = yes
accept = 127.0.0.1:8012
connect = tls-v1-2.badssl.com:1012
verifyChain = yes
checkHost = tls-v1-2.badssl.com

При переключении в режим openssl ( msspi = no и добавки CAfile = ca-certs.pem) соединение по протоколу TLS v1.2 нормально устанавливается.

Проверял для нескольких вариантов удаленного сервера в т.ч поднимал свой TLS сервер на stunnel'е от Michal Trojnara . Результаты аналогичны: в режиме msspi клиент stunnel-msspi не устанавливает соединение по протоколу TLS v1.2, только TLS v1.0.

Вопрос: Поддерживает ли Windows stunnel-msspi ( в отсутствии КриптоПро ) в режиме msspi протокол TLS v1.2 ?

P.S. Тестировал соединение клиента stunnel-msspi в режиме msspi с удаленным TLS сервером ( немодифицированный stunnel v. 5.56 от Michal Trojnara ) , залоченным на протокол TLS v1.2 .

Конфиг клиента stunnel-msspi :
debug = debug
output = stunnel-clt.log
verify = 2
msspi = yes
[daytimes-client]
client = yes
accept = 127.0.0.1:20013
verifyChain = yes
connect = 127.0.0.1:10013
sni = st.taro.com
checkIP = 127.0.0.1

Конфиг stunnel-сервера:

debug = debug
output = stunnel.log
verify = 0
sslVersion = TLSv1.2
[daytimes]
accept = 10013
connect = 13
CAfile = Taro_CA.crt
cert = Taro_stunnel_server3.pem


Stunnel-сервер рвет соединение с ошибкой в логе:
.....
2019.12.27 13:35:25 LOG5[0]: Service [daytimes] accepted connection from 127.0.0.1:49876
2019.12.27 13:35:25 LOG6[0]: Peer certificate not required
2019.12.27 13:35:25 LOG7[0]: TLS state (accept): before SSL initialization
2019.12.27 13:35:25 LOG7[0]: TLS state (accept): before SSL initialization
2019.12.27 13:35:25 LOG7[0]: TLS alert (write): fatal: protocol version
2019.12.27 13:35:25 LOG3[0]: SSL_accept: ssl/statem/statem_srvr.c:1666: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol
2019.12.27 13:35:25 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2019.12.27 13:35:25 LOG7[0]: Local descriptor (FD=248) closed
2019.12.27 13:35:25 LOG7[0]: Service [daytimes] finished (0 left)

При отключении на стороне клиента режима msspi соединение TLSv1.2 устанавливается без ошибок.
Offline Дмитрий Пичулин  
#2 Оставлено : 27 декабря 2019 г. 14:16:05(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы готовые для захвата: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 948
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 25 раз
Поблагодарили: 150 раз в 128 постах
Автор: a.gavrilyuk Перейти к цитате
Windows 7 SP1

...

В случае, если удаленный хост поддерживает только TLS v1.2 то соединение рвется.


Начните вот с этого: https://www.cryptopro.ru...&m=102945#post102945

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
a.gavrilyuk оставлено 27.12.2019(UTC)
Offline a.gavrilyuk  
#3 Оставлено : 27 декабря 2019 г. 16:38:03(UTC)
a.gavrilyuk

Статус: Новичок

Группы: Участники
Зарегистрирован: 25.12.2019(UTC)
Сообщений: 5
Российская Федерация

Сказал(а) «Спасибо»: 2 раз
Большое спасибо.
Помогло.
TLS v1.2 заработало после установки обновления kb3140245 ( согласно https://support.microsof...t-secure-protocols-in-wi ) и внесение в реестр Windows настроек, разрешающих SCHANNEl использовать TLS v.1.2 .

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000

Вывод: stunnel-msspi может использовать сертификаты из Windows store и сединяться по протоколу TLS 1.2 в отличии от stunnel c https://stunnel.org , который использует Windows store через CAPI engine и ограничен TLS v1.1 .
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.