logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline Дмитрий Пичулин  
#41 Оставлено : 27 ноября 2017 г. 10:13:12(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Обновление stunnel-msspi: https://github.com/deemr.../stunnel-5.44-msspi-0.99

Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#42 Оставлено : 27 ноября 2017 г. 10:14:09(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Обновление stunnel-msspi: https://github.com/deemr.../stunnel-5.44-msspi-0.99
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#43 Оставлено : 2 августа 2018 г. 15:35:23(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.48-msspi-0.106

Знания в базе знаний, поддержка в техподдержке
Offline Алексей Шачнев  
#44 Оставлено : 19 августа 2018 г. 18:16:29(UTC)
Алексей Шачнев

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2018(UTC)
Сообщений: 2
Российская Федерация

Не устанавливается в качестве службы Windows.
Перепробовал все варианты и комбинации, прочитал ВЕСЬ форму по ключевому слову stunnel.

https://github.com/deemr...-0.106_windows-amd64.zip

(пробовал и 32-битную тоже)

Windows Server 1607 сборка 14393.2189

CryptoPRO CSP 4.0 R4 и 5 в триальном режиме


Если запустить stunnel-msspi-cli.exe без параметров, все работает как надо. В режим службы - не хочет.






Цитата:
C:\Program Files (x86)\stunnel>stunnel-msspi-cli.exe -install
[ ] Running on Windows 6.2
[ ] No limit detected for the number of clients
[.] stunnel 5.48 on x86-pc-msvc-1900 platform
[.] Compiled/running with OpenSSL 1.0.2o 27 Mar 2018
[.] Threading:WIN32 Sockets:SELECT,IPv6 TLS:ENGINE,OCSP,PSK,SNI
[ ] errno: (*_errno())
[ ] Running on Windows 6.2
[.] Reading configuration from file -install
[!] Cannot open configuration file
[.]
[.] Syntax:
[.] stunnel [ [-install | -uninstall | -start | -stop | -reload | -reopen | -exit] [-quiet] [<filename>] ] | -help | -version | -sockets | -options
[.] <filename> - use specified config file
[.] -install - install NT service
[.] -uninstall - uninstall NT service
[.] -start - start NT service
[.] -stop - stop NT service
[.] -reload - reload configuration for NT service
[.] -reopen - reopen log file for NT service
[.] -exit - exit an already started stunnel
[.] -quiet - don't display message boxes
[.] -help - get config file help
[.] -version - display version and defaults
[.] -sockets - display default socket options
[.] -options - display supported TLS options
[ ] Deallocating section defaults
Offline Дмитрий Пичулин  
#45 Оставлено : 19 августа 2018 г. 21:46:15(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Автор: Алексей Шачнев Перейти к цитате
В режим службы - не хочет.

Как определили, что не хочет?

Знания в базе знаний, поддержка в техподдержке
Offline Алексей Шачнев  
#46 Оставлено : 22 августа 2018 г. 11:44:57(UTC)
Алексей Шачнев

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.08.2018(UTC)
Сообщений: 2
Российская Федерация

Путем запуска команды stunnel-msspi-cli.exe -install из консоли с повышенными привилегиями администратора.
Конфигурационный файл пробовал располагать в system32, в SysWOW64, в каталоге программы, пробовал указывать в командной строке путь после -install
Служба не создается (при установке обычного stunnel создается).

Ответ от программы привел в сообщении выше.

Отредактировано пользователем 22 августа 2018 г. 11:46:39(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#47 Оставлено : 22 августа 2018 г. 11:51:41(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Автор: Алексей Шачнев Перейти к цитате
Путем запуска команды stunnel-msspi-cli.exe -install из консоли с повышенными привилегиями администратора.
Конфигурационный файл пробовал располагать в system32, в SysWOW64, в каталоге программы, пробовал указывать в командной строке путь после -install
Служба не создается (при установке обычного stunnel создается).

Ответ от программы привел в сообщении выше.

Почему "-cli" выбрали?

Уже было: https://www.cryptopro.ru...ts&m=84522#post84522

Используйте "stunnel-msspi.exe -install"


Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#48 Оставлено : 4 сентября 2018 г. 14:54:24(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.49-msspi-0.133

- Для Unix-систем сменили тип работы потоков с `fork` на `pthread`, теперь стало возможным работать с провайдером КС1 (до этого только КС2)
- Добавили ARM-сборку для Unix
Знания в базе знаний, поддержка в техподдержке
Offline Pichuzhkin Victor  
#49 Оставлено : 7 октября 2018 г. 15:03:30(UTC)
Pichuzhkin Victor

Статус: Новичок

Группы: Участники
Зарегистрирован: 30.09.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Дмитрий, добрый день!
Не подскажете ли по описанной ниже проблеме?
Есть партнер, который хочет к нам подключиться. У них Linux и Крипто-ПРО stunnel из дистрибутива Крипто-ПРО CSP для Linux
Со стороны партнера CSP (Type:80) v4.0.9006 KC2 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.
На нашей стороне поднят Windows Stunnel-msspi версии 5.49-msspi-0.133

Суть проблемы - stunnel партнера не может подключиться к нашему stunnel-msspi
При этом в логах их stunnel
Код:

2018.10.04 11:12:57 LOG7[19688:140518890882816]: 101 bytes of handshake data sent
2018.10.04 11:12:57 LOG3[19688:140518890882816]: ** Error 104 reading data from server
2018.10.04 11:12:57 LOG3[19688:140518890882816]: Error performing handshake
2018.10.04 11:12:57 LOG5[19688:140518890882816]: Connection reset: 0 byte(s) sent to SSL, 0 byte(s) sent to socket

В наших логах
Код:

2018.10.04 11:12:57 LOG7[main]: Found 1 ready file descriptor(s)
2018.10.04 11:12:57 LOG7[main]: FD=472 ifds=r-x ofds=---
2018.10.04 11:12:57 LOG7[main]: Service [https] accepted (FD=2072) from ИП-партнера:17592
2018.10.04 11:12:57 LOG7[main]: Creating a new thread
2018.10.04 11:12:57 LOG7[main]: New thread created
2018.10.04 11:12:57 LOG7[231]: Service [https] started
2018.10.04 11:12:57 LOG7[231]: Setting local socket options (FD=2072)
2018.10.04 11:12:57 LOG7[231]: Option TCP_NODELAY set on local socket
2018.10.04 11:12:57 LOG5[231]: Service [https] accepted connection from ИП-партнера:17592
2018.10.04 11:12:57 LOG6[231]: Peer certificate required
2018.10.04 11:12:57 LOG3[231]: SSL_accept: Peer suddenly disconnected
2018.10.04 11:12:57 LOG5[231]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2018.10.04 11:12:57 LOG7[231]: Local descriptor (FD=2072) closed
2018.10.04 11:12:57 LOG7[231]: Service [https] finished (0 left)


По результатам просмотра сетевым анализатором было выявлено - партнер делает Client Hello с TLS v.1.0 после чего наш сервер рвет соединение (что, вообще говоря, наверно правильно, т.к. протокол признан уязвимым)
Пробовали в порядке отладки снизить "толерантность" и убирать из нашего конфига stunnel-msspi строчку sslversion=TLSv1.2 (поведение не меняется) либо пробовать включить в режим sslversion=TLSv1.0 (вообще не стартует) - ничего не помогает

Партнеру удалось с тем же сертификатом поднять stunnel-msspi на Windows-системе и с нее коннект проходит абсолютно нормально по TLS v.1.2
Но нужно на Linux-е с их стороны.
Партнер уже решился на установку Stunnel-msspi на свой линукс, но им нужен RPM-пакет (deb не устраивает), а из исходников не собирается

В связи с чем вопросы:
  • Крипто-ПРО stunnel в составе дистрибутивов и stunnel-msspi - чем-то отличаются?
  • В связи с чем может stunnel из состава дистрибутива стучаться по TLS v.1.0?
  • Есть ли возможость сделать сборку RPM-пакета stunnel-msspi?

Заранее спасибо!
Offline Дмитрий Пичулин  
#50 Оставлено : 7 октября 2018 г. 18:46:22(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Автор: Pichuzhkin Victor Перейти к цитате
Есть партнер, который хочет к нам подключиться. У них Linux и Крипто-ПРО stunnel из дистрибутива Крипто-ПРО CSP для Linux
Со стороны партнера CSP (Type:80) v4.0.9006 KC2 Release Ver:4.0.9708 OS:Linux CPU:AMD64 FastCode:READY:AVX.
На нашей стороне поднят Windows Stunnel-msspi версии 5.49-msspi-0.133

Суть проблемы - stunnel партнера не может подключиться к нашему stunnel-msspi

...

По результатам просмотра сетевым анализатором было выявлено - партнер делает Client Hello с TLS v.1.0 после чего наш сервер рвет соединение (что, вообще говоря, наверно правильно, т.к. протокол признан уязвимым)

...

Партнер уже решился на установку Stunnel-msspi на свой линукс, но им нужен RPM-пакет (deb не устраивает), а из исходников не собирается

В случае ГОСТ, известных уязвимостей по TLS 1.0 нет, так что особой разницы между TLS 1.0 и 1.2 в случае ГОСТовых сюит нет.

Сами утилиты взаимозаменяемые, разница между ними есть, но она не на уровне протокола TLS, за который отвечает исключительно КриптоПро CSP.

Поэтому невозможность подключиться с большой вероятностью сохранится при смене приложения. Чтобы в этом убедиться попробуйте подключиться с помощью csptest:

Код:
csptestf -tlsc -server example.com -port 443 -v


Про RPM: пусть вас не смущает "_deb" в названии, в архиве ".tar.gz" для Unix-систем лежит один бинарный файл приложения stunnel-msspi, без установщика, распаковываете и используете.
Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
Pichuzhkin Victor оставлено 07.10.2018(UTC)
Offline Nikolay.Zykov  
#51 Оставлено : 13 ноября 2018 г. 7:39:00(UTC)
Nikolay.Zykov

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2018(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 1 раз
Stunel не работает. Просьба помочь.

Цитата:
2018.11.13 10:23:00 LOG7[4651:140265955030848]: Created pid file /var/opt/cprocsp/tmp/stunnel_serv.pid
2018.11.13 10:23:00 LOG7[4651:140265955030848]: open file /etc/stunnel/srv.cer with certificate
2018.11.13 10:23:00 LOG5[4651:140265955030848]: CertFindCertificateInStore not find certificate in LOCAL_MACHINE store. Looking at CURRENT_USER
2018.11.13 10:23:00 LOG3[4651:140265955030848]: **** Error 0x80090304 returned by AcquireCredentialsHandle



Цитата:
CentOS Linux release 7.4.1708 (Core)


Цитата:
stunnel 4.18 on x86_64-pc-linux-gnu
Threading:PTHREAD Sockets:POLL,IPv6 Auth:LIBWRAP

Global options
debug = 5
pid = /opt/cprocsp/var/run/stunnel/stunnel.pid
RNDbytes = 64
RNDfile = /dev/urandom
RNDoverwrite = yes
for_hsm = yes|no HSM mode with unix socket auth

Service-level options
cert = /etc/opt/cprocsp/stunnel/stunnel.pem
key = /etc/opt/cprocsp/stunnel/stunnel.pem
session = 300 seconds
TIMEOUTbusy = 300 seconds
TIMEOUTclose = 60 seconds
TIMEOUTconnect = 10 seconds
TIMEOUTidle = 43200 seconds
verify = none



Создаю тестовый сертификат:


Цитата:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=server' -cont '\\.\HDIMAGE\srv_container' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv


Экспортирую:

Цитата:
/opt/cprocsp/bin/amd64/certmgr -export -cont '\\.\HDIMAGE\srv_container' -dest srv.cer



Конфиг:

Цитата:
pid=/var/opt/cprocsp/tmp/stunnel_serv.pid
output=/var/opt/cprocsp/tmp/stunnel_serv.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[https]
accept=172.18.141.121:1502
connect=127.0.0.1:80
cert=/etc/stunnel/srv.cer
verify=1


Лицензия

Цитата:
License validity:
XXXXXXXXXXXXXXXXXXXXXXXX
license - permanent
License type: Client.
Offline Дмитрий Пичулин  
#52 Оставлено : 13 ноября 2018 г. 7:52:36(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Автор: Nikolay.Zykov Перейти к цитате
Stunel не работает.

...
Создаю тестовый сертификат:


Цитата:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -exprt -provtype 75 -provname "Crypto-Pro GOST R 34.10-2001 KC1 CSP" -rdn 'CN=server' -cont '\\.\HDIMAGE\srv_container' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv


...

Лицензия

Цитата:
License validity:
XXXXXXXXXXXXXXXXXXXXXXXX
license - permanent
License type: Client.


Серверный сертификат требует серверную лицензию.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
Nikolay.Zykov оставлено 15.11.2018(UTC)
Offline Nikolay.Zykov  
#53 Оставлено : 15 ноября 2018 г. 8:28:29(UTC)
Nikolay.Zykov

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.11.2018(UTC)
Сообщений: 3

Сказал(а) «Спасибо»: 1 раз
Спасибо, проблему решили. Для тестирования используем ваш тестовый УЦ. Как мы можем сделать, чтобы сертификат отображался в браузере как доверенный? Можно ли его выдать на какой-то определённый домен?

Отредактировано пользователем 15 ноября 2018 г. 8:29:25(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#54 Оставлено : 15 ноября 2018 г. 8:33:17(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Автор: Nikolay.Zykov Перейти к цитате
Спасибо, проблему решили. Для тестирования используем ваш тестовый УЦ. Как мы можем сделать, чтобы сертификат отображался в браузере как доверенный? Можно ли его выдать на какой-то определённый домен?

Если проблем с stunnel более нет, лучше создать новую тему по интересующему вопросу.
Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#55 Оставлено : 3 декабря 2018 г. 12:18:54(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Обновление stunnel-msspi: https://github.com/deemr...stunnel-5.50-msspi-0.135
Знания в базе знаний, поддержка в техподдержке
Offline irider  
#56 Оставлено : 4 декабря 2018 г. 8:29:50(UTC)
irider

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.12.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread


setgid = stunnel
setuid = stunnel
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
client = yes

[stunnel.nbki]
accept = 192.168.190.131:8181
connect = icrs.nbki.ru:443
verify=2




вот лог

2018.12.04 10:59:37 LOG7[42693:139781806831424]: stunnel.nbki accepted FD=9 from 192.168.190.1:63890
2018.12.04 10:59:37 LOG7[42693:139781806823168]: client start
2018.12.04 10:59:37 LOG7[42693:139781806823168]: stunnel.nbki started
2018.12.04 10:59:37 LOG7[42693:139781806823168]: FD 9 in non-blocking mode
2018.12.04 10:59:37 LOG7[42693:139781806823168]: TCP_NODELAY option set on local socket
2018.12.04 10:59:37 LOG7[42693:139781806823168]: FD 10 in non-blocking mode
2018.12.04 10:59:37 LOG7[42693:139781806823168]: FD 11 in non-blocking mode
2018.12.04 10:59:37 LOG7[42693:139781806823168]: Connection from 192.168.190.1:63890 permitted by libwrap
2018.12.04 10:59:37 LOG5[42693:139781806823168]: stunnel.nbki connected from 192.168.190.1:63890
2018.12.04 10:59:37 LOG7[42693:139781806823168]: FD 14 in non-blocking mode
2018.12.04 10:59:37 LOG7[42693:139781806823168]: stunnel.nbki connecting
2018.12.04 10:59:37 LOG7[42693:139781806823168]: connect_wait: waiting 10 seconds
2018.12.04 10:59:37 LOG7[42693:139781806831424]: Cleaning up the signal pipe
2018.12.04 10:59:37 LOG6[42693:139781806831424]: Child process 42735 finished with code 0
2018.12.04 10:59:37 LOG7[42693:139781806823168]: connect_wait: connected
2018.12.04 10:59:37 LOG7[42693:139781806823168]: Remote FD=14 initialized
2018.12.04 10:59:37 LOG7[42693:139781806823168]: TCP_NODELAY option set on remote socket
2018.12.04 10:59:37 LOG7[42693:139781806823168]: start SSPI connect
2018.12.04 10:59:37 LOG3[42693:139781806823168]: Credentials complete
2018.12.04 10:59:37 LOG7[42693:139781806823168]: 104 bytes of handshake data sent
2018.12.04 10:59:37 LOG5[42693:139781806823168]: 1380 bytes of handshake(in handshake loop) data received.
2018.12.04 10:59:37 LOG5[42693:139781806823168]: 1116 bytes of handshake(in handshake loop) data received.
2018.12.04 10:59:37 LOG5[42693:139781806823168]: 215 bytes of handshake data sent
2018.12.04 10:59:37 LOG5[42693:139781806823168]: 254 bytes of handshake(in handshake loop) data received.
2018.12.04 10:59:37 LOG5[42693:139781806823168]: Handshake was successful
2018.12.04 10:59:37 LOG5[42693:139781806823168]: PerformClientHandshake finish
2018.12.04 10:59:37 LOG5[42693:139781806823168]: Server subject: E=support@nbki.ru, C=RU, S=Moscow, L=Moscow, O=OJSC National Bureau of Credit Histories, OU=IT, CN=icrs.nbki.ru
2018.12.04 10:59:37 LOG5[42693:139781806823168]: Server issuer: E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
2018.12.04 10:59:37 LOG3[42693:139781806823168]: Error 0x20 ((unknown)) returned by CertVerifyCertificateChainPolicy!
2018.12.04 10:59:37 LOG3[42693:139781806823168]: Error 0x20 when validate certificate

2018.12.04 10:59:37 LOG3[42693:139781806823168]: Error 0x8009030e returned by VerifyCertChain
2018.12.04 10:59:37 LOG3[42693:139781806823168]: **** Error 0x8009030e authenticating server credentials!
2018.12.04 10:59:37 LOG5[42693:139781806823168]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2018.12.04 10:59:37 LOG7[42693:139781806823168]: free Buffers
2018.12.04 10:59:37 LOG7[42693:139781806823168]: delete c->hContext
2018.12.04 10:59:37 LOG7[42693:139781806823168]: delete c->hClientCreds
2018.12.04 10:59:37 LOG5[42693:139781806823168]: incomp_mess = 0, extra_data = 1
2018.12.04 10:59:37 LOG7[42693:139781806823168]: stunnel.nbki finished (0 left)


Сертификаты поставил

[root@localhost tmp]# /opt/cprocsp/bin/amd64/certmgr -list -store Root
Certmgr 1.1 (c) "Crypto-Pro", 2007-2018.
program for managing certificates, CRLs and stores

WARNING: Legacy parameter: "-store Root"
=============================================================================
1-------
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Serial : 0x01E3FBF60031A9579540CA4145DB0C179C
SHA1 Hash : 5269538f37d31c44f2ec22941941c864297a3e1a
SubjKeyID : fdf55268ab6b48aa7efb695f722a7a1709b09a37
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 03/08/2018 14:49:15 UTC
Not valid after : 03/08/2033 14:49:15 UTC
PrivateKey Link : No
2-------
Issuer : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Subject : E=cpca@cryptopro.ru, C=RU, S=Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN=УЦ КРИПТО-ПРО (ГОСТ 2012)
Serial : 0x00DD104EE49490C280E711C10F7871BE9B
SHA1 Hash : ae71dcfac7a211a78f415f5ecbf72986fb673563
SubjKeyID : 06d84904600b6340c01fc6368563b09638e04a9b
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 512 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (1024 bits)
Not valid before : 23/03/2017 11:59:49 UTC
Not valid after : 23/03/2032 11:59:49 UTC
PrivateKey Link : No
3-------
Issuer : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Serial : 0x6A7C887538F2CD8B4126FF8E40C3DDBA
SHA1 Hash : 3b41b9931b7d8bb4fa54850686aabfef0aff7b6f
SubjKeyID : 2f8d57cc878349b0819a7afd46ac1f2704a92558
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 09/09/2015 15:01:35 UTC
Not valid after : 09/09/2030 15:01:35 UTC
PrivateKey Link : No
4-------
Issuer : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Serial : 0x4AAD6F10E49BBBB14BCEA513D2C81E0B
SHA1 Hash : 86ebc03e3b3b14ee4ca70ca5ccd7db30eb80e258
SubjKeyID : 551b514c6edf5065d849e41d9da16ce9d75e6d26
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 12/05/2014 13:33:42 UTC
Not valid after : 12/05/2029 13:33:42 UTC
PrivateKey Link : No
5-------
Issuer : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Subject : E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
Serial : 0x0FDD104EE49490BF80E711BE040559F1FE
SHA1 Hash : c8e00fe58abd9bea94d0b8048f53e3e57448a430
SubjKeyID : 72f05086b2809fad0239e0c393160ee2b3a77a26
Signature Algorithm : ГОСТ Р 34.11/34.10-2001
PublicKey Algorithm : ГОСТ Р 34.10-2001 (512 bits)
Not valid before : 09/03/2017 11:43:24 UTC
Not valid after : 09/03/2032 11:43:24 UTC
PrivateKey Link : No
6-------
Issuer : E=" info@cryptopro.ru", OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Subject : E=" info@cryptopro.ru", OGRN=1037700085444, INN=007717107991, C=RU, S=77 Москва, L=Москва, STREET=ул. Сущёвский вал д. 18, O="ООО ""КРИПТО-ПРО""", CN="Тестовый головной УЦ ООО ""КРИПТО-ПРО"" ГОСТ 2012 (УЦ 2.0)"
Serial : 0x01BAD8001EA8179F4EF889B80ECB8DF4
SHA1 Hash : f5361bb7026f815b3dcf02ce70b240f306d6af5e
SubjKeyID : d00fb90e68827687ffd4e50c15aaa2dedb6a79f7
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 01/11/2017 12:59:06 UTC
Not valid after : 01/11/2032 12:59:06 UTC
PrivateKey Link : No
=============================================================================

[ErrorCode: 0x00000000]
Offline Дмитрий Пичулин  
#57 Оставлено : 4 декабря 2018 г. 8:34:02(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Автор: irider Перейти к цитате
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread

Подключение "csptestf tlsc" в тех же условиях проходит без ошибок?

Знания в базе знаний, поддержка в техподдержке
Offline irider  
#58 Оставлено : 4 декабря 2018 г. 8:53:55(UTC)
irider

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.12.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: irider Перейти к цитате
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread

Подключение "csptestf tlsc" в тех же условиях проходит без ошибок?



[root@localhost stunnel]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server icrs.nbki.ru -port 443
HDContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 302 Found
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2262:Bad HTTP status.
Error number 0x80092004 (2148081668).
Cannot find object or property.
HttpsGetFile: 0x0000012e
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:806:Error fetching file from server.
Error number 0x12e (302).
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.090 sec
[ErrorCode: 0x0000012e]
Offline Дмитрий Пичулин  
#59 Оставлено : 4 декабря 2018 г. 9:27:19(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 706
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 19 раз
Поблагодарили: 106 раз в 91 постах
Автор: irider Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: irider Перейти к цитате
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread

Подключение "csptestf tlsc" в тех же условиях проходит без ошибок?



[root@localhost stunnel]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server icrs.nbki.ru -port 443
HDContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 302 Found
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2262:Bad HTTP status.
Error number 0x80092004 (2148081668).
Cannot find object or property.
HttpsGetFile: 0x0000012e
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:806:Error fetching file from server.
Error number 0x12e (302).
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.090 sec
[ErrorCode: 0x0000012e]

С большой вероятностью ошибка с правами доступа у пользователя stunnel.

Так как, ошибок с проверкой цепочки в случае csptest, работающего от пользователя root, нет, а в случае stunnel, работающего от пользователя stunnel, есть.

Запустите csptestf от пользователя, от которого работает stunnel и убедитесь, что аналогичная ошибка присутствует.

Приведите в порядок окружение пользователя stunnel, тогда всё заработает.





Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
irider оставлено 04.12.2018(UTC)
Offline irider  
#60 Оставлено : 4 декабря 2018 г. 10:10:20(UTC)
irider

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.12.2018(UTC)
Сообщений: 3
Российская Федерация
Откуда: Москва

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: irider Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: irider Перейти к цитате
Добрый день!
Подскажите в чем может быть проблема.
пытаюсь подключиться к нбки stunnel_thread

Подключение "csptestf tlsc" в тех же условиях проходит без ошибок?



[root@localhost stunnel]# /opt/cprocsp/bin/amd64/csptestf -tlsc -server icrs.nbki.ru -port 443
HDContext expired: OK if file is completely downloaded
Reply status: HTTP/1.1 302 Found
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:2262:Bad HTTP status.
Error number 0x80092004 (2148081668).
Cannot find object or property.
HttpsGetFile: 0x0000012e
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:806:Error fetching file from server.
Error number 0x12e (302).
Total: SYS: 0.020 sec USR: 0.050 sec UTC: 0.090 sec
[ErrorCode: 0x0000012e]

С большой вероятностью ошибка с правами доступа у пользователя stunnel.

Так как, ошибок с проверкой цепочки в случае csptest, работающего от пользователя root, нет, а в случае stunnel, работающего от пользователя stunnel, есть.

Запустите csptestf от пользователя, от которого работает stunnel и убедитесь, что аналогичная ошибка присутствует.

Приведите в порядок окружение пользователя stunnel, тогда всё заработает.







Спасибо! Убрал для теста
setgid = stunnel
setuid = stunnel
Заработало.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.