Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC)
Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
Добрый день. Установил КриптоПро + stunnel Настроил хранилище и добавил сертификаты... в общем вроде всё сделал по инструкциям и мануалам, но не могу подключиться к тестовому серверу: https://www.cryptopro.ru:4444/test/tls-cli.asp конфиг stennel такой: Цитата:
### start of file /etc/opt/cprocsp/stunnel/stunnel.conf
setuid = root
setgid = root
pid = /var/opt/cprocsp/tmp/stunnel.pid
; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
; Some debugging stuff useful for troubleshooting
debug = 7
output = /var/opt/cprocsp/tmp/stunnel.log
; Use it for client mode
client = yes
; Service-level configuration
[kchannel2]
accept = 1501
connect = /var/opt/cprocsp/tmp/.cryptsrv_kb2
[https]
accept = 1443
cert=/etc/opt/cprocsp/stunnel/server.cer
connect=www.cryptopro.ru:4444
TIMEOUTclose = 0
### end of file /etc/opt/cprocsp/stunnel/stunnel.conf
в логе ошибок нет: Цитата:
2013.12.01 23:33:54 LOG5[1716:139968256620352]: stunnel 4.18 on x86_64-unknown-linux-gnu
2013.12.01 23:33:54 LOG5[1716:139968256620352]: Threading:PTHREAD Sockets:POLL,IPv4 Auth:LIBWRAP
2013.12.01 23:33:54 LOG6[1716:139968256620352]: file ulimit = 1024 (can be changed with 'ulimit -n')
2013.12.01 23:33:54 LOG6[1716:139968256620352]: poll() used - no FD_SETSIZE limit for file descriptors
2013.12.01 23:33:54 LOG5[1716:139968256620352]: 0 clients allowed
2013.12.01 23:33:54 LOG7[1716:139968256620352]: FD 5 in non-blocking mode
2013.12.01 23:33:54 LOG7[1716:139968256620352]: FD 6 in non-blocking mode
2013.12.01 23:33:54 LOG7[1716:139968256620352]: FD 8 in non-blocking mode
2013.12.01 23:33:54 LOG7[1716:139968256620352]: SO_REUSEADDR option set on accept socket
2013.12.01 23:33:54 LOG7[1716:139968256620352]: kchannel2 bound to 0.0.0.0:1501
2013.12.01 23:33:54 LOG7[1716:139968256620352]: FD 9 in non-blocking mode
2013.12.01 23:33:54 LOG7[1716:139968256620352]: SO_REUSEADDR option set on accept socket
2013.12.01 23:33:54 LOG7[1716:139968256620352]: https bound to 0.0.0.0:1443
2013.12.01 23:33:54 LOG7[1717:139968256620352]: Created pid file /var/opt/cprocsp/tmp/stunnel.pid
csptestf пишет следующее: Цитата:root@ubuntu:/opt/cprocsp/bin/amd64# ./csptestf -tlsc –server www.cryptopro.ru –port 1443 -v -v ./csptestf -tlsc -v -v –server www.cryptopro.ru –port 1443 5 algorithms supported: [0] 1.2.643.2.2.21 (ГОСТ 28147-89) [1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [2] 0x801f [3] 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [4] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) Cipher strengths: 256..256 Supported protocols: 0x80 **** Could not connect An error occurred in running the program. /dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:508: Error connecting to server. Error number 0x80091003 (2148077571). The object identifier is poorly formatted. Total: [ErrorCode: 0x80091003] помогите пожалуйста, в чем может быть проблема? +++ для потомков +++ Проблема решена:Сертификат должен быть "Проверка подлинности клиента" - "1.3.6.1.5.5.7.3.2" Если на контейнер ставится пароль - должен быть прописан в конфиге stunnel -я Отредактировано пользователем 13 декабря 2013 г. 15:30:04(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
|
 1 пользователь поблагодарил Мясников Роман за этот пост.
|
iPrior оставлено 02.12.2013(UTC)
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC)
Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
Еще раз добрый день. Всё таки не получается у меня настроить двустороннюю аутентификацию по TLS. Ошибка Error 0x80090304 returned by AcquireCredentialsHandle Прикрепил алгоритм моих действий, с самого начала, с установки КриптоПро. Делал по этой инструкции: http://www.cryptopro.ru/...erguidestunnel_linux.pdfНе могу разобраться с ошибкой. P.S. у Вас в инструкции (ссылка выше) опечатка в пункте 2.3 "Запись сертификатов в файл", в приведенной команде: Цитата:/opt/cprocsp/sbin/<архитектура>/certmgr -expr -dest server.cer -cont '\\.\HDIMAGE\server' мне кажется она должна выглядеть так: Цитата:/opt/cprocsp/bin/<архитектура>/certmgr -export -dest server.cer -cont '\\.\HDIMAGE\server' P.S.2 у нас есть лицензия на КриптоПро, если эта информация необходима, могу предоставить. Отредактировано пользователем 5 декабря 2013 г. 13:14:53(UTC)
| Причина: уточнение о наличии лицензии Вложение(я):  stunnel (6kb) загружен 2 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
Запуск службы нужно выполнять под тем пользователем, под которым был установлен сертификат.
Как запускаете службу? Под каким пользователем происходила установка сертификата?
Попробуйте установить сертификат так:
/opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file /var/mnt/cryptoPro/003/client.cer -cont '\\.\HDIMAGE\client'
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC)
Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
Добрый день, Роман. Всё делается от имени пользователя root. Служба запускается командой: /opt/cprocsp/sbin/amd64/stunnel_thread /etc/opt/cprocsp/stunnel.conf попробовал установить как Вы написали - не помогло. Есть нюанс - я делаю это все на виртуальной машине (VMWare Workstation) которая, по сути, находится за двумя NAT -ами. Это не может быть проблемой? Отредактировано пользователем 6 декабря 2013 г. 15:27:24(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC)
Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
Мой пример только на cpca.cryptopro.ru Вложение(я): stunnel Linux(ubuntu) Client - соединение до cpca.cryptopro.ru.jpg (369kb) загружен 63 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC)
Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
Спасибо. Обнаружил что не стоит curl у меня. Поставил его, перезагрузился. Не помогло. Может я с сертификатами что напутал? Подскажите пожалуйста, правильно ли я их ставлю и все ли: Я создаю запрос на сертификат: Цитата:/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "E=test@test.ru,CN=Ivan,L=Moscow,O=Bank" -nokeygen -both -ku -cont client /etc/opt/cprocsp/cert_request.req Использую полученный файл для генерации клиентского сертификата, на этой странице: http://www.cryptopro.ru/certsrv/certrqxt.aspУстанавливаю его как Вы писали выше. Далее, на странице http://www.cryptopro.ru/certsrv/certcarc.asp скачиваю "Загрузка сертификата ЦС" и устанавливаю его: Цитата:/opt/cprocsp/bin/amd64/certmgr -inst -file /var/mnt/cryptoPro/003/root.cer -store ROOT Больше ни какие сертификаты не нужны и правильны ли мои действия?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC)
Сообщений: 338
Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 41 раз в 41 постах
|
Вот ещё скриншот теперь на cryptopro.ru:4444 Вложение(я): Stunnel Linux.jpg (351kb) загружен 57 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
