Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 19
Сказал(а) «Спасибо»: 1 раз
|
Добрый день, столкнулись с такой проблемой, при подключению к серверу банка в передаваемых пакетах во время рукопожатия (Client hello) отсутствует signature_algorithms из-за чего банк разрывает с нами соединение. При этом если перезапустить stunnel то первое соединение всегда успешное и в нем есть signature_algorithms, а последующие соединения уже не имеют сигнатуры и банк разрывает соединение.
версия stunnel-msspi 5.71
пробовали выставить такие опции
[test]
client = yes
options = NO_TICKET
options = SINGLE_DH_USE
renegotiation = no
TIMEOUTclose = 0
TIMEOUTidle = 30
TIMEOUTconnect = 30
accept = 0.0.0.0:6443
connect = test.ru:9443
sessionResume = no
sessionCacheSize = 0
sessionCacheTimeout = 0
cert=7613fb7cec707f0ba3020ec47b62a1f0
verify = 0
но результата нет, банк требует при каждом соединении передавать signature_algorithms, а через стуннел оно передается не стабильно. Именно после ребута перовое соединение всегда 200 код, а дальше разрывы, но могут и снова несколько 200 пройти. Проверяем через curl запрос обращаясь на порт стуннела.
Этот же маршрут настроили через nginx и там все работает без прерываний, но необходимо все же разобраться почему стуннел не передает каждый раз signature_algorithms.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC) Сообщений: 40  Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 28 раз в 23 постах
|
Здравствуйте! Возможно, Вы столкнулись с неточностью в формировании расширений, которая была исправлена в релизе 5.0.13700 Xana: Цитата:tls: Улучшено формирование расширений в соответствии с поддерживаемыми версиями протоколов TLS и DTLS (CPCSP-15316). Предлагаем попробовать следующее: - Установить актуальную версию КриптоПро CSP 5.0 R4 и проверить, воспроизводится ли ошибка
- Отключить на клиенте кэш сессий с помощью команды:
Код:/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long tls_client_max_sessions 0
|
|
 1 пользователь поблагодарил Сонина Лолита за этот пост.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 09.02.2024(UTC)
Сообщений: 19
Сказал(а) «Спасибо»: 1 раз
|
Автор: Сонина Лолита  Здравствуйте! Возможно, Вы столкнулись с неточностью в формировании расширений, которая была исправлена в релизе 5.0.13700 Xana: Цитата:tls: Улучшено формирование расширений в соответствии с поддерживаемыми версиями протоколов TLS и DTLS (CPCSP-15316). Предлагаем попробовать следующее: - Установить актуальную версию КриптоПро CSP 5.0 R4 и проверить, воспроизводится ли ошибка
- Отключить на клиенте кэш сессий с помощью команды:
Код:/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long tls_client_max_sessions 0
Добрый день, обновились на указанную версию крипто про и все заработало. работает без отключения кэша.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 20.11.2014(UTC) Сообщений: 40 Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 28 раз в 23 постах
|
Отлично!
Если Вы можете использовать актуальную версию, то рекомендуем её и оставить (с включенным кэшом).
Если есть необходимость использовать строго сертифицированную версию (на текущий момент последняя сертифицированная - CSP 5.0 R3+ 13003), то можно в ней отключить кэш сессий для обеспечения работоспособности в указанном сценарии. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
