Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
Всем доброго времени суток. Помогите, пожалуйста, разобраться с проблемой. Импортировал список отозванных сертификатов. Но stunnel по-прежнему успешно создает соединения, даже используя отозванные сертификаты. сервер - Windows 2008 клиент - Ubuntu 12.04 CryptoPro CSP 3.6 1) Cryptcp (и на сервер и на клиенте) при подписывании файлов с использованием этих сертификатов предупреждает, что они отозваны. 2) Stunnel перезапускал Подскажите, пожалуйста, в какую сторону смотреть? Отредактировано пользователем 10 марта 2013 г. 13:20:38(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
stunnel только в последних сборках начал проверять сертификаты клиента. Он все-таки не вебсервер. |
|
1 пользователь поблагодарил Максим Коллегин за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
Спасибо за быстрый ответ.
Не могли бы вы пояснить, про какие последние сборки вы говорите - обычного stunnel или КриптоПро Stunnel?
Если я правильно понимаю, в stunnel поддержка crl началась с версии 4.05 а КриптоПро Stunnel (у меня версия 3.6.3604 от 25 февраля 2011 г.) основан на версии 4.18
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах
|
Имелось ввиду последняя сборка КриптоПро Stunnel. В скором времени обновим дистрибутив на сайте. |
|
1 пользователь поблагодарил Анатолий Беляев за этот пост.
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
Добрый день!
Скажите, пожалуйста, а в новой сборке проверяются списки отозванных сертификатов?
Ситуация, описанная в первом сообщении, не изменилась при переходе на новую версию версию stunnel.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
да, verify=2 стоит
выполняю на клиенте /opt/cprocsp/bin/ia32/./cryptcp -sign -cert -dn "CN=037test" msg1 msg2 предупреждает, что сертификат отозван
На сервер в "промежуточные центры сертификации" импортирован список отозванных
в логах Stunnel-сервера
2013.04.05 16:22:26 LOG5[3516:3384]: Client subject: C 2013.04.05 16:22:26 LOG5[3516:3384]: Client issuer: C 2013.04.05 16:22:26 LOG5[3516:3384]: No error on CertGetCertificateChain 2013.04.05 16:22:26 LOG5[3516:3384]: No error on CertVerifyCertificateChainPolicy
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
Вопрос все еще актуален.
verify=2, в логах никаких сообщений о статусе проверки, stunnel запускается в любом случае.
Может быть CRL-файл нужно как-то хитро разместить (в документации про это не сказано)? Подскажите, в чем может быть проблема?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы, Участники Зарегистрирован: 24.11.2009(UTC) Сообщений: 965 Откуда: Crypto-Pro
Сказал(а) «Спасибо»: 3 раз Поблагодарили: 174 раз в 152 постах
|
Как вы ставили CRL на сервере? Что сейчас выводит certmgr -list -crl -store CA ? |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 10.03.2013(UTC) Сообщений: 19 Сказал(а) «Спасибо»: 3 раз
|
1) на сервере - файл .crl установил в хранилище "промежуточные центры сертификации" хотя даже без этого действия соединение не должно было устанавливаться, насколько я понимаю
2) Certmgr 1.0 (c) "CryptoPro", 2007-2010. program for managing certificates, CRLs and stores ============================================================================= 1------- Issuer : CN=cryptopro-CA ThisUpdate: 19/12/2013 10:23:55 UTC NextUpdate: 26/12/2013 22:43:55 UTC ============================================================================= [ErrorCode: 0x00000000]
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close