Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC) Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
Добрый день. Установил КриптоПро + stunnel Настроил хранилище и добавил сертификаты... в общем вроде всё сделал по инструкциям и мануалам, но не могу подключиться к тестовому серверу: https://www.cryptopro.ru:4444/test/tls-cli.asp конфиг stennel такой: Цитата: ### start of file /etc/opt/cprocsp/stunnel/stunnel.conf setuid = root setgid = root pid = /var/opt/cprocsp/tmp/stunnel.pid
; Some performance tunings socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1
; Some debugging stuff useful for troubleshooting debug = 7 output = /var/opt/cprocsp/tmp/stunnel.log
; Use it for client mode client = yes
; Service-level configuration [kchannel2] accept = 1501 connect = /var/opt/cprocsp/tmp/.cryptsrv_kb2
[https] accept = 1443 cert=/etc/opt/cprocsp/stunnel/server.cer connect=www.cryptopro.ru:4444 TIMEOUTclose = 0 ### end of file /etc/opt/cprocsp/stunnel/stunnel.conf
в логе ошибок нет: Цитата: 2013.12.01 23:33:54 LOG5[1716:139968256620352]: stunnel 4.18 on x86_64-unknown-linux-gnu 2013.12.01 23:33:54 LOG5[1716:139968256620352]: Threading:PTHREAD Sockets:POLL,IPv4 Auth:LIBWRAP 2013.12.01 23:33:54 LOG6[1716:139968256620352]: file ulimit = 1024 (can be changed with 'ulimit -n') 2013.12.01 23:33:54 LOG6[1716:139968256620352]: poll() used - no FD_SETSIZE limit for file descriptors 2013.12.01 23:33:54 LOG5[1716:139968256620352]: 0 clients allowed 2013.12.01 23:33:54 LOG7[1716:139968256620352]: FD 5 in non-blocking mode 2013.12.01 23:33:54 LOG7[1716:139968256620352]: FD 6 in non-blocking mode 2013.12.01 23:33:54 LOG7[1716:139968256620352]: FD 8 in non-blocking mode 2013.12.01 23:33:54 LOG7[1716:139968256620352]: SO_REUSEADDR option set on accept socket 2013.12.01 23:33:54 LOG7[1716:139968256620352]: kchannel2 bound to 0.0.0.0:1501 2013.12.01 23:33:54 LOG7[1716:139968256620352]: FD 9 in non-blocking mode 2013.12.01 23:33:54 LOG7[1716:139968256620352]: SO_REUSEADDR option set on accept socket 2013.12.01 23:33:54 LOG7[1716:139968256620352]: https bound to 0.0.0.0:1443 2013.12.01 23:33:54 LOG7[1717:139968256620352]: Created pid file /var/opt/cprocsp/tmp/stunnel.pid
csptestf пишет следующее: Цитата:root@ubuntu:/opt/cprocsp/bin/amd64# ./csptestf -tlsc –server www.cryptopro.ru –port 1443 -v -v ./csptestf -tlsc -v -v –server www.cryptopro.ru –port 1443 5 algorithms supported: [0] 1.2.643.2.2.21 (ГОСТ 28147-89) [1] 1.2.643.2.2.3 (ГОСТ Р 34.11/34.10-2001) [2] 0x801f [3] 1.2.643.2.2.20 (ГОСТ Р 34.10-94) [4] 1.2.643.2.2.19 (ГОСТ Р 34.10-2001) Cipher strengths: 256..256 Supported protocols: 0x80 **** Could not connect An error occurred in running the program. /dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:508: Error connecting to server. Error number 0x80091003 (2148077571). The object identifier is poorly formatted. Total: [ErrorCode: 0x80091003] помогите пожалуйста, в чем может быть проблема? +++ для потомков +++ Проблема решена:Сертификат должен быть "Проверка подлинности клиента" - "1.3.6.1.5.5.7.3.2" Если на контейнер ставится пароль - должен быть прописан в конфиге stunnel -я Отредактировано пользователем 13 декабря 2013 г. 15:30:04(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC) Сообщений: 338
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 41 раз в 41 постах
|
|
1 пользователь поблагодарил Мясников Роман за этот пост.
|
iPrior оставлено 02.12.2013(UTC)
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC) Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
Еще раз добрый день. Всё таки не получается у меня настроить двустороннюю аутентификацию по TLS. Ошибка Error 0x80090304 returned by AcquireCredentialsHandle Прикрепил алгоритм моих действий, с самого начала, с установки КриптоПро. Делал по этой инструкции: http://www.cryptopro.ru/...erguidestunnel_linux.pdfНе могу разобраться с ошибкой. P.S. у Вас в инструкции (ссылка выше) опечатка в пункте 2.3 "Запись сертификатов в файл", в приведенной команде: Цитата:/opt/cprocsp/sbin/<архитектура>/certmgr -expr -dest server.cer -cont '\\.\HDIMAGE\server' мне кажется она должна выглядеть так: Цитата:/opt/cprocsp/bin/<архитектура>/certmgr -export -dest server.cer -cont '\\.\HDIMAGE\server' P.S.2 у нас есть лицензия на КриптоПро, если эта информация необходима, могу предоставить. Отредактировано пользователем 5 декабря 2013 г. 13:14:53(UTC)
| Причина: уточнение о наличии лицензии Вложение(я): stunnel (6kb) загружен 2 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC) Сообщений: 338
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 41 раз в 41 постах
|
Запуск службы нужно выполнять под тем пользователем, под которым был установлен сертификат. Как запускаете службу? Под каким пользователем происходила установка сертификата? Попробуйте установить сертификат так: /opt/cprocsp/bin/amd64/certmgr -inst -store uMy -file /var/mnt/cryptoPro/003/client.cer -cont '\\.\HDIMAGE\client'
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC) Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
Добрый день, Роман. Всё делается от имени пользователя root. Служба запускается командой: /opt/cprocsp/sbin/amd64/stunnel_thread /etc/opt/cprocsp/stunnel.conf попробовал установить как Вы написали - не помогло. Есть нюанс - я делаю это все на виртуальной машине (VMWare Workstation) которая, по сути, находится за двумя NAT -ами. Это не может быть проблемой? Отредактировано пользователем 6 декабря 2013 г. 15:27:24(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC) Сообщений: 338
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 41 раз в 41 постах
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC) Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC) Сообщений: 338
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 41 раз в 41 постах
|
Мой пример только на cpca.cryptopro.ru Вложение(я): stunnel Linux(ubuntu) Client - соединение до cpca.cryptopro.ru.jpg (369kb) загружен 63 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 02.12.2013(UTC) Сообщений: 21
Сказал(а) «Спасибо»: 3 раз
|
Спасибо. Обнаружил что не стоит curl у меня. Поставил его, перезагрузился. Не помогло. Может я с сертификатами что напутал? Подскажите пожалуйста, правильно ли я их ставлю и все ли: Я создаю запрос на сертификат: Цитата:/opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn "E=test@test.ru,CN=Ivan,L=Moscow,O=Bank" -nokeygen -both -ku -cont client /etc/opt/cprocsp/cert_request.req Использую полученный файл для генерации клиентского сертификата, на этой странице: http://www.cryptopro.ru/certsrv/certrqxt.aspУстанавливаю его как Вы писали выше. Далее, на странице http://www.cryptopro.ru/certsrv/certcarc.asp скачиваю "Загрузка сертификата ЦС" и устанавливаю его: Цитата:/opt/cprocsp/bin/amd64/certmgr -inst -file /var/mnt/cryptoPro/003/root.cer -store ROOT Больше ни какие сертификаты не нужны и правильны ли мои действия?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 27.01.2012(UTC) Сообщений: 338
Сказал(а) «Спасибо»: 1 раз Поблагодарили: 41 раз в 41 постах
|
Вот ещё скриншот теперь на cryptopro.ru:4444 Вложение(я): Stunnel Linux.jpg (351kb) загружен 57 раз(а).У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close