Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline neigel  
#1 Оставлено : 14 февраля 2021 г. 22:58:37(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 91
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Здравствуйте!

Подскажите, пожалуйста, stunnel, который не stunnel-msspi, чем-либо отличается от апстрима? Вносили ли вы в него какие-либо изменения? Если нет, то в чём смысл его распространения в Linux'овых дистрибутивах?
Offline Андрей Русев  
#2 Оставлено : 14 февраля 2021 г. 23:54:47(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
Здравствуйте.
Наш stunnel всегда поддерживал TLS по ГОСТ, только ради этого он и был создан. stunnel-msspi - это технологически более современный подход для той же самой задачи, благодаря чему он сделан на базе более новой апстримной версии stunnel.
Официальная техподдержка. Официальная база знаний.
Offline neigel  
#3 Оставлено : 27 февраля 2021 г. 2:37:02(UTC)
neigel

Статус: Активный участник

Группы: Участники
Зарегистрирован: 23.12.2014(UTC)
Сообщений: 91
Российская Федерация

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 2 раз в 2 постах
Автор: Андрей Русев Перейти к цитате
Здравствуйте.
Наш stunnel всегда поддерживал TLS по ГОСТ, только ради этого он и был создан. stunnel-msspi - это технологически более современный подход для той же самой задачи, благодаря чему он сделан на базе более новой апстримной версии stunnel.


А не могли бы вы пояснить какую роль выполняют скрипт channel_k2.sh и бинарь stunnel_hsm? Что-то нет ничего в документации на счет этих файликов.
Offline Андрей Русев  
#4 Оставлено : 27 января 2022 г. 10:18:16(UTC)
Русев Андрей

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 16.04.2008(UTC)
Сообщений: 1,260

Сказал(а) «Спасибо»: 21 раз
Поблагодарили: 442 раз в 322 постах
stunnel_hsm - это stunnel, который умеет соединяться с КриптоПро HSM. Так работают клиенты этого HSM на unix-системах. А channel_k2.sh - скрипт по быстрой типовой настройке такого клиента HSM. Для настройки HSM-клиента нужно:
установить kc2 + stunnel ( + pcsc + рутокен + драйверы токенов, если ключи доступа на токенах + их сразу надо воткнуть):
Код:
# ./install.sh kc2 cprocsp-stunnel cprocsp-rdr-pcsc cprocsp-rdr-rutoken

установить сертификат доступа в личное хранилище со ссылкой на закрытый ключ
Код:
# /opt/cprocsp/bin/amd64/csptest -absorb -certs -autoprov

по выдаче в консоль предыдущей команды можно "угадать" имя контейнера с ключом доступа к HSM, также можно перечислить имена контейнеров в разных форматах:
Код:
# /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -fqcn
# /opt/cprocsp/bin/amd64/csptest -keyset -enum -verifycontext -unique

настроить stunnel_hsm, создать провайдеры и проверить работоспособность можно одной командой (нужен IP HSM-а, имя контейнера для доступа из выдачи выше, PIN и путь к временному файлу, куда скрипт храненит цепочку сертификатов):
Код:
# /opt/cprocsp/sbin/ia32/channel_k2.sh -i 192.168.0.26 -c '\\.\Aktiv Co. Rutoken S 00 00\имя_контейнера' -r /tmp/временный_файл_stunel_root.p7b -p PIN_контейнера

Официальная техподдержка. Официальная база знаний.
thanks 1 пользователь поблагодарил Русев Андрей за этот пост.
Александр Лавник оставлено 27.01.2022(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.