Статус: Участник
Группы: Участники
Зарегистрирован: 06.12.2019(UTC) Сообщений: 13  Откуда: Tolyatti Сказал(а) «Спасибо»: 1 раз
|
Добрый день!
Переустановили сертификат, с которым раньше все работало. Обновили отпечаток в stunnel.conf. Теперь у нас возникает ошибка на клиенте.
Лог:
SNI: sending servername: justsign.me
msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
Настройки:
setgid = root
setuid = root
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[justsign.me]
client = yes
accept = 4431
connect = justsign.me:4430
cert = 0c5cac4edc7c02faea86862344abf32fb7c34606
verify = 2
Подскажите, в каких случая возникает эта ошибка? Куда копать?
Спасибо!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Alexandertlt  Добрый день!
Переустановили сертификат, с которым раньше все работало. Обновили отпечаток в stunnel.conf. Теперь у нас возникает ошибка на клиенте.
Лог:
SNI: sending servername: justsign.me
msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
Настройки:
setgid = root
setuid = root
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[justsign.me]
client = yes
accept = 4431
connect = justsign.me:4430
cert = 0c5cac4edc7c02faea86862344abf32fb7c34606
verify = 2
Подскажите, в каких случая возникает эта ошибка? Куда копать?
Спасибо! Функция msspi_set_mycert_options() тестирует сертификат на пригодность к использованию (есть/доступен закрытый ключ, пин подходит или отсутствует, лицензия в порядке). Проверьте, что ваш сертификат и закрытый ключ функционируют штатно безотносительно stunnel. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.12.2019(UTC) Сообщений: 13 Откуда: Tolyatti Сказал(а) «Спасибо»: 1 раз
|
Да, сертификат функционирует. Он сейчас успешно используется при подписывании cryptcp -sign Сертификат устанавливали командой certmgr -install -store uRoot -container '\\.\HDIMAGE\68aed30e-d646-4abf-af67-49a77b6de03e' -file 2.cer Как еще можно проверить? Serial : 0x01D4ACA513533AF0000000062F620001 SHA1 Hash : 0c5cac4edc7c02faea86862344abf32fb7c34606 SubjKeyID : 85dc960f502d92cadfed745674ae8f2c030b8f90 Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits) Not valid before : 15/01/2019 07:36:13 UTC Not valid after : 15/01/2020 07:36:13 UTC PrivateKey Link : Yes Container : HDIMAGE\\68aed30e.000\24AF Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0 Отредактировано пользователем 6 декабря 2019 г. 14:07:02(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Alexandertlt Да, сертификат функционирует. Он сейчас успешно используется при подписывании cryptcp -sign
Сертификат устанавливали командой certmgr -install -store uRoot -container '\\.\HDIMAGE\68aed30e-d646-4abf-af67-49a77b6de03e' -file 2.cer
Как еще можно проверить?
Serial : 0x01D4ACA513533AF0000000062F620001
SHA1 Hash : 0c5cac4edc7c02faea86862344abf32fb7c34606
SubjKeyID : 85dc960f502d92cadfed745674ae8f2c030b8f90
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/01/2019 07:36:13 UTC
Not valid after : 15/01/2020 07:36:13 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\68aed30e.000\24AF
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0 Это всё от рута происходит? И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)? Если это пользовательский сертификат, то можно не указывать -store совсем. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.12.2019(UTC) Сообщений: 13 Откуда: Tolyatti Сказал(а) «Спасибо»: 1 раз
|
Автор: Дмитрий Пичулин
Это всё от рута происходит?
Да Автор: Дмитрий Пичулин
И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?
Если это пользовательский сертификат, то можно не указывать -store совсем.
Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Alexandertlt Автор: Дмитрий Пичулин
Это всё от рута происходит?
Да Автор: Дмитрий Пичулин
И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?
Если это пользовательский сертификат, то можно не указывать -store совсем.
Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат? Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.12.2019(UTC) Сообщений: 13 Откуда: Tolyatti Сказал(а) «Спасибо»: 1 раз
|
Автор: Дмитрий Пичулин Автор: Alexandertlt Автор: Дмитрий Пичулин
Это всё от рута происходит?
Да Автор: Дмитрий Пичулин
И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?
Если это пользовательский сертификат, то можно не указывать -store совсем.
Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат? Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy. Этот же сертификат так же есть в списке uMy. certmgr -list -store uMy Поясню, если я правильно помню. Изначально сертификат был в хранилище uMy, потом повторно сделали certmgr -install -store uRoot Отредактировано пользователем 6 декабря 2019 г. 14:42:13(UTC)
| Причина: дополнение
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Alexandertlt Автор: Дмитрий Пичулин Автор: Alexandertlt Автор: Дмитрий Пичулин
Это всё от рута происходит?
Да Автор: Дмитрий Пичулин
И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?
Если это пользовательский сертификат, то можно не указывать -store совсем.
Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат? Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy. Этот же сертификат так же есть в списке uMy. certmgr -list -store uMy Поясню, если я правильно помню. Изначально сертификат был в хранилище uMy, потом повторно сделали certmgr -install -store uRoot Сделайте повторно в uMy. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.12.2019(UTC) Сообщений: 13 Откуда: Tolyatti Сказал(а) «Спасибо»: 1 раз
|
Установил повторно. Ошибка повторяется.
Процесс установки был такой:
1. В Windows из файла .pfx экспортировал контейнер
Получилась папка 6ae526f8.000 с файлами header.key, masks.key и проч. .key
2. Эту папку копирую в каталог /var/opt/cprocsp/keys/root/
3. Смотрю что контейнер появился в списке: csptest -keyset -enum_containers -verifycontext
4. Сертификат 2.cer в текущем каталоге. Запускаю:
certmgr -install -store uMy -container '\\.\HDIMAGE\6ae526f8-379e-4569-adbb-01d2ebf5a5de' -file 2.cer
выполняется без ошибок [ErrorCode: 0x00000000]
5. Перезапускаю stunnel: service stunnel-msspi restart
6. Ошибка повторяется((
msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Что еще можно сделать?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Alexandertlt Установил повторно. Ошибка повторяется.
Процесс установки был такой:
1. В Windows из файла .pfx экспортировал контейнер
Получилась папка 6ae526f8.000 с файлами header.key, masks.key и проч. .key
2. Эту папку копирую в каталог /var/opt/cprocsp/keys/root/
3. Смотрю что контейнер появился в списке: csptest -keyset -enum_containers -verifycontext
4. Сертификат 2.cer в текущем каталоге. Запускаю:
certmgr -install -store uMy -container '\\.\HDIMAGE\6ae526f8-379e-4569-adbb-01d2ebf5a5de' -file 2.cer
выполняется без ошибок [ErrorCode: 0x00000000]
5. Перезапускаю stunnel: service stunnel-msspi restart
6. Ошибка повторяется((
msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Что еще можно сделать? Давайте по вот этой инструкции посмотрим лог: https://www.cryptopro.ru...&m=103456#post103456 |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
