Atom Лента - Форум КриптоПро - Тема:stunnel-msspi не соединяется по TLS v1.2 - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:stunnel-msspinesoedinjaetsjapoTLSv1.2-10:1Copyright 2024 Форум КриптоПро2024-03-28T11:18:08Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.rua.gavrilyukhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=55063&name=a.gavrilyuka.gavrilyukhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=55063&name=a.gavrilyukpdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pda.gavrilyukhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=55063&name=a.gavrilyukYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid111049:1stunnel-msspi не соединяется по TLS v1.2<table class="content postContainer_Alt" width="100%"><tr><td>Большое спасибо. <br />Помогло.<br /> TLS v1.2 заработало после установки обновления kb3140245 ( согласно <a rel="nofollow" href="https://support.microsoft.com/en-za/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi" title="https://support.microsoft.com/en-za/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi">https://support.microsof...t-secure-protocols-in-wi</a> ) и внесение в реестр Windows настроек, разрешающих SCHANNEl использовать TLS v.1.2 .<br /><br />[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]<br />[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]<br />"DisabledByDefault"=dword:00000000<br /><br />[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]<br />[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]<br />"DisabledByDefault"=dword:00000000<br /> <br />Вывод: stunnel-msspi может использовать сертификаты из Windows store и сединяться по протоколу TLS 1.2 в отличии от stunnel c <a rel="nofollow" href="https://stunnel.org" title="https://stunnel.org">https://stunnel.org</a> , который использует Windows store через CAPI engine и ограничен TLS v1.1 .</td></tr></table>2019-12-27T16:38:03+03:002019-12-27T16:38:03+03:00a.gavrilyuk<table class="content postContainer_Alt" width="100%"><tr><td>Большое спасибо. <br />Помогло.<br /> TLS v1.2 заработало после установки обновления kb3140245 ( согласно <a rel="nofollow" href="https://support.microsoft.com/en-za/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi" title="https://support.microsoft.com/en-za/help/3140245/update-to-enable-tls-1-1-and-tls-1-2-as-default-secure-protocols-in-wi">https://support.microsof...t-secure-protocols-in-wi</a> ) и внесение в реестр Windows настроек, разрешающих SCHANNEl использовать TLS v.1.2 .<br /><br />[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1]<br />[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]<br />"DisabledByDefault"=dword:00000000<br /><br />[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]<br />[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]<br />"DisabledByDefault"=dword:00000000<br /> <br />Вывод: stunnel-msspi может использовать сертификаты из Windows store и сединяться по протоколу TLS 1.2 в отличии от stunnel c <a rel="nofollow" href="https://stunnel.org" title="https://stunnel.org">https://stunnel.org</a> , который использует Windows store через CAPI engine и ограничен TLS v1.1 .</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid111040:1stunnel-msspi не соединяется по TLS v1.2<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: a.gavrilyuk <a href="/forum2/default.aspx?g=posts&m=111037#post111037"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Windows 7 SP1<br /><br />...<br /><br />В случае, если удаленный хост поддерживает только TLS v1.2 то соединение рвется.</div></div><br /><br />Начните вот с этого: <a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=102945#post102945" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=102945#post102945">https://www.cryptopro.ru...&m=102945#post102945</a><br /><br /></td></tr></table>2019-12-27T14:16:05+03:002019-12-27T14:16:05+03:00pd<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: a.gavrilyuk <a href="/forum2/default.aspx?g=posts&m=111037#post111037"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Windows 7 SP1<br /><br />...<br /><br />В случае, если удаленный хост поддерживает только TLS v1.2 то соединение рвется.</div></div><br /><br />Начните вот с этого: <a rel="nofollow" href="https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=102945#post102945" title="https://www.cryptopro.ru/forum2/default.aspx?g=posts&m=102945#post102945">https://www.cryptopro.ru...&m=102945#post102945</a><br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid111037:1stunnel-msspi не соединяется по TLS v1.2<table class="content postContainer_Alt" width="100%"><tr><td>Здравствуйте !<br /><br />Помогите пожалуйста с вопросом о поднятии через stunnel-msspi соединения протоколу TLS v1.2. <br /><br />Установил на Windows 7 SP1 последний ( stunnel-5.56-msspi-0.155 ) stunnel-msspi. КриптоПро не установлен.<br />В режиме sspi клиент stunnel нормально видит сертификаты из Windows store и устанавливает соединение по протоколу TLS v1.0.<br />В случае, если удаленный хост поддерживает только TLS v1.2 то соединение рвется.<br /><br />Один из тестировавшихся конфигов stunnel'а:<br /><br />debug = debug<br />output = stunnel-clt.log<br />verify = 2<br />msspi = yes<br />[tls12-test]<br />client = yes<br />accept = 127.0.0.1:8012<br />connect = tls-v1-2.badssl.com:1012<br />verifyChain = yes<br />checkHost = tls-v1-2.badssl.com<br /><br />При переключении в режим openssl ( msspi = no и добавки CAfile = ca-certs.pem) соединение по протоколу TLS v1.2 нормально устанавливается.<br /><br />Проверял для нескольких вариантов удаленного сервера в т.ч поднимал свой TLS сервер на stunnel'е от Michal Trojnara . Результаты аналогичны: в режиме msspi клиент stunnel-msspi не устанавливает соединение по протоколу TLS v1.2, только TLS v1.0.<br /><br /><span style="font-size:120%"><strong>Вопрос: Поддерживает ли Windows stunnel-msspi ( в отсутствии КриптоПро ) в режиме msspi протокол TLS v1.2 ?</strong></span><br /><br />P.S. Тестировал соединение клиента stunnel-msspi в режиме msspi с удаленным TLS сервером ( немодифицированный stunnel v. 5.56 от Michal Trojnara ) , залоченным на протокол TLS v1.2 .<br /><br />Конфиг клиента stunnel-msspi :<br />debug = debug<br />output = stunnel-clt.log<br />verify = 2<br />msspi = yes<br />[daytimes-client]<br />client = yes<br />accept = 127.0.0.1:20013<br />verifyChain = yes<br />connect = 127.0.0.1:10013<br />sni = st.taro.com<br />checkIP = 127.0.0.1<br /><br />Конфиг stunnel-сервера:<br /><br />debug = debug<br />output = stunnel.log<br />verify = 0<br />sslVersion = TLSv1.2<br />[daytimes]<br />accept = 10013<br />connect = 13<br />CAfile = Taro_CA.crt<br />cert = Taro_stunnel_server3.pem<br /><br /><br /> Stunnel-сервер рвет соединение с ошибкой в логе:<br />.....<br />2019.12.27 13:35:25 LOG5[0]: Service [daytimes] accepted connection from 127.0.0.1:49876<br />2019.12.27 13:35:25 LOG6[0]: Peer certificate not required<br />2019.12.27 13:35:25 LOG7[0]: TLS state (accept): before SSL initialization<br />2019.12.27 13:35:25 LOG7[0]: TLS state (accept): before SSL initialization<br />2019.12.27 13:35:25 LOG7[0]: TLS alert (write): fatal: protocol version<br />2019.12.27 13:35:25 LOG3[0]: SSL_accept: ssl/statem/statem_srvr.c:1666: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol<br />2019.12.27 13:35:25 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket<br />2019.12.27 13:35:25 LOG7[0]: Local descriptor (FD=248) closed<br />2019.12.27 13:35:25 LOG7[0]: Service [daytimes] finished (0 left)<br /><br />При отключении на стороне клиента режима msspi соединение TLSv1.2 устанавливается без ошибок.<br /></td></tr></table>2019-12-27T14:06:52+03:002019-12-27T14:06:52+03:00a.gavrilyuk<table class="content postContainer_Alt" width="100%"><tr><td>Здравствуйте !<br /><br />Помогите пожалуйста с вопросом о поднятии через stunnel-msspi соединения протоколу TLS v1.2. <br /><br />Установил на Windows 7 SP1 последний ( stunnel-5.56-msspi-0.155 ) stunnel-msspi. КриптоПро не установлен.<br />В режиме sspi клиент stunnel нормально видит сертификаты из Windows store и устанавливает соединение по протоколу TLS v1.0.<br />В случае, если удаленный хост поддерживает только TLS v1.2 то соединение рвется.<br /><br />Один из тестировавшихся конфигов stunnel'а:<br /><br />debug = debug<br />output = stunnel-clt.log<br />verify = 2<br />msspi = yes<br />[tls12-test]<br />client = yes<br />accept = 127.0.0.1:8012<br />connect = tls-v1-2.badssl.com:1012<br />verifyChain = yes<br />checkHost = tls-v1-2.badssl.com<br /><br />При переключении в режим openssl ( msspi = no и добавки CAfile = ca-certs.pem) соединение по протоколу TLS v1.2 нормально устанавливается.<br /><br />Проверял для нескольких вариантов удаленного сервера в т.ч поднимал свой TLS сервер на stunnel'е от Michal Trojnara . Результаты аналогичны: в режиме msspi клиент stunnel-msspi не устанавливает соединение по протоколу TLS v1.2, только TLS v1.0.<br /><br /><span style="font-size:120%"><strong>Вопрос: Поддерживает ли Windows stunnel-msspi ( в отсутствии КриптоПро ) в режиме msspi протокол TLS v1.2 ?</strong></span><br /><br />P.S. Тестировал соединение клиента stunnel-msspi в режиме msspi с удаленным TLS сервером ( немодифицированный stunnel v. 5.56 от Michal Trojnara ) , залоченным на протокол TLS v1.2 .<br /><br />Конфиг клиента stunnel-msspi :<br />debug = debug<br />output = stunnel-clt.log<br />verify = 2<br />msspi = yes<br />[daytimes-client]<br />client = yes<br />accept = 127.0.0.1:20013<br />verifyChain = yes<br />connect = 127.0.0.1:10013<br />sni = st.taro.com<br />checkIP = 127.0.0.1<br /><br />Конфиг stunnel-сервера:<br /><br />debug = debug<br />output = stunnel.log<br />verify = 0<br />sslVersion = TLSv1.2<br />[daytimes]<br />accept = 10013<br />connect = 13<br />CAfile = Taro_CA.crt<br />cert = Taro_stunnel_server3.pem<br /><br /><br /> Stunnel-сервер рвет соединение с ошибкой в логе:<br />.....<br />2019.12.27 13:35:25 LOG5[0]: Service [daytimes] accepted connection from 127.0.0.1:49876<br />2019.12.27 13:35:25 LOG6[0]: Peer certificate not required<br />2019.12.27 13:35:25 LOG7[0]: TLS state (accept): before SSL initialization<br />2019.12.27 13:35:25 LOG7[0]: TLS state (accept): before SSL initialization<br />2019.12.27 13:35:25 LOG7[0]: TLS alert (write): fatal: protocol version<br />2019.12.27 13:35:25 LOG3[0]: SSL_accept: ssl/statem/statem_srvr.c:1666: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol<br />2019.12.27 13:35:25 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket<br />2019.12.27 13:35:25 LOG7[0]: Local descriptor (FD=248) closed<br />2019.12.27 13:35:25 LOG7[0]: Service [daytimes] finished (0 left)<br /><br />При отключении на стороне клиента режима msspi соединение TLSv1.2 устанавливается без ошибок.<br /></td></tr></table>