Статус: Участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC) Сообщений: 16
|
Добрый день! Помогите, пожалуйста, со следующей проблемой.
Нужно организовать шифрованную по ГОСТу связь между приложениями клиента и сервера. Решили использовать программу Stunnel. Закупили лицензии, сертификаты.
Установил СКЗИ Крипто-Про 3.6 R2. инсталлировал STunnel, настроил согласно инструкции (инструкция примитивная, но вроде все должно быть просто) но служба Stunnel не запускается, выдает ошибку: "код ошибки 1067, код события 7034". При этом в логе (stunnel.log) выдается следующее: 2012.01.25 08:51:10 LOG5[2652:2744]: stunnel 4.18 on x86-pc-unknown 2012.01.25 08:51:10 LOG5[2652:2744]: Threading:WIN32 Sockets:SELECT,IPv6 2012.01.25 08:51:10 LOG5[2652:2744]: No limit detected for the number of clients 2012.01.25 08:51:10 LOG7[2652:2744]: FD 220 in non-blocking mode 2012.01.25 08:51:10 LOG7[2652:2744]: SO_REUSEADDR option set on accept socket 2012.01.25 08:51:10 LOG7[2652:2744]: https bound to x.x.x.x:443 2012.01.25 08:51:10 LOG7[2652:2744]: open file C:\Crypto-Pro\yyy.ru.cer with certificate 2012.01.25 08:51:10 LOG3[2652:2744]: CertCreateCertificateContext failed: 2148086027d 2012.01.25 08:51:10 LOG3[2652:2744]: Error creating credentials
В этом логе мне не нравятся две строчки : 1) "stunnel 4.18 on x86-pc-unknown". какой нафиг x86, если я качал x64 вчерсию и ставил ее под Win2008R2 ?? 2) "CertCreateCertificateContext failed". Сертификат лежит, закрытый ключ в реестре, между собой связаны. конфиг такой: output=C:\Crypto-Pro\stunnel.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [https] accept= x.x.x.x:443 connect = x.x.x.x:443 cert=C:\Crypto-Pro\yyy.ru.cer mutual_auth=yes
в чем может быть проблема??
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
У Вас сертификат скорее всего в кодировке BASE64 а не DER, сохраните его в формате DER. Сертификат Проверки подлинности сервера в хранилище локального компьютера установлен? Более подробная информация по stunnel и его настройке при необходимости можете найти найти тут http://www.stunnel.org/
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC) Сообщений: 16
|
ААА!!! :) огромный респект тебе, товарищ!
сделал DER - и служба запустилась!
один вопрос - почему в этой %%% инструкции написано, цитирую "После установки сертификата сервера..... сохранить этот сертификат в файл..... в формате BASE64 или DER" ?!?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
Видимо ошибка :) Поправим.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC) Сообщений: 16
|
Обновлю тему, т.к. опять вопросы по Stunnel, но уже по клиентской части...
у клиента установили Крипто-Про, создали конфиг в System32, установили сертификат в Личное хранилище локального компьютера. Серт связан с контейнером закрытого ключа. устанавливаем Stunnel, пытаемся запустить службу, служба не запускается, в журнале событий Windows появляется такая запись: "Не удается найти описание для идентификатора события 32 из источника Stunnel. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
-sockets - display default socket options "
файл лога (stunnel.log) остается пустым, т.е. в него ничего не пишется. конфиг такой: output = C:\Crypto-Pro\stunnel.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7 [https] client = yes accept= 1500 connect = x.x.x.x:443 cert = C:\Crypto-Pro\AAAA.cer
правилньо ли я понимаю, что до сертификата тут даже не доходит?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC) Сообщений: 16
|
а, да. Серт в кодировке DER
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
panterkin написал:но уже по клиентской части...
...установили сертификат в Личное хранилище локального компьютера.
Для пользователя сертификат должен быть установлен в хранилище пользователя а не компьютера.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC) Сообщений: 16
|
хм... установил в хранилище пользователя. Результат тот же... Попробовал в другой кодировке (BASE64) - то же самое :-(
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 25.01.2011(UTC) Сообщений: 589 Откуда: Крипто-Про
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 25.01.2012(UTC) Сообщений: 16
|
так фай лога пустой, с нулевым размером...
только сообщения в журнале событий...
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close