Статус: Новичок
Группы: Участники
Зарегистрирован: 10.08.2017(UTC) Сообщений: 5  Откуда: Новосибирск
|
Добрый день. Пытаюсь на винде с установленным КриптоПро CSP достучаться до https://icrs.nbki.ru:443 Делаю: 1) curl -X POST https://icrs.nbki.ru/products/B2BRequestServletcurl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure 2) Выкачал из internet explorer сертификат, который открывает этот файл, преобразовал его в .pem, делаю: $ curl --cacert certRepo -X POST https://icrs.nbki.ru:443/products/B2BRequestServlet curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure не получается. Пробовал пользоваться stunnel -> соединение внезнапно было прервано. Настройки stunnel.conf: ; Debugging stuff (may be useful for troubleshooting) debug = 7 [nbki] accept = 10.1.2.103:1501 connect = icrs.nbki.ru:443 client = yes verify = 0 Делаю: $ curl -X POST http://10.1.2.103:1501/products/B2BRequestServlet curl: (56) Recv failure: Connection was reset Не знаю что делать, помогите пожалуйста!!!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
|
Автор: aitskovich  Добрый день. Пытаюсь на винде с установленным КриптоПро CSP достучаться до https://icrs.nbki.ru:443 Делаю: 1) curl -X POST https://icrs.nbki.ru/products/B2BRequestServletcurl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure 2) Выкачал из internet explorer сертификат, который открывает этот файл, преобразовал его в .pem, делаю: $ curl --cacert certRepo -X POST https://icrs.nbki.ru:443/products/B2BRequestServlet curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure не получается. Пробовал пользоваться stunnel -> соединение внезнапно было прервано. Настройки stunnel.conf: ; Debugging stuff (may be useful for troubleshooting) debug = 7 [nbki] accept = 10.1.2.103:1501 connect = icrs.nbki.ru:443 client = yes verify = 0 Делаю: $ curl -X POST http://10.1.2.103:1501/products/B2BRequestServlet curl: (56) Recv failure: Connection was reset Не знаю что делать, помогите пожалуйста!!! С большой вероятностью stunnel отрабатывает корректно и ваш POST запрос идёт по HTTP 1.1, в котором указано "Host: 10.1.2.103:1501". Как вы думаете к этому должен отнестить сервер icrs.nbki.ru:443? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.08.2017(UTC) Сообщений: 5 Откуда: Новосибирск
|
ну я же делаю проброс:
connect = icrs.nbki.ru:443
Как мне было объяснено - stunnel шифрует трафик ГОСТом и коннектит к узлу.
В чем тут проблема?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,578
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 38 раз
Поблагодарили: 539 раз в 377 постах
|
Автор: aitskovich ну я же делаю проброс:
connect = icrs.nbki.ru:443
Как мне было объяснено - stunnel шифрует трафик ГОСТом и коннектит к узлу.
В чем тут проблема? Как сказано выше, с большой вероятностью, TLS работает корректно, а ваш HTTP запрос внутри TLS некорректен. Как минимум у него неверный Host: https://developer.mozill.../Web/HTTP/Заголовки/Host |
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 397 раз в 367 постах
|
Автор: aitskovich В чем тут проблема? В двух словах: на компьютере, с которого коннектитесь к 10.1.2.103 приложение должно считать, что icrs.nbki.ru расположен по адресу 10.1.2.103 (в hosts пропишите, например или в локальном DNS-сервере) и адрес в приложении нужно задать как icrs.nbki.ru, тогда HTTP запрос будет корректен. Наоборот (если на DNS подменили адрес icrs.nbki.ru на 10.1.2.103), connect строку можно указывать по реальному ip от icrs.nbki.ru. Суммируя: Код:curl -X POST http://icrs.nbki.ru:1501/products/B2BRequestServlet
... hosts
10.1.2.103 icrs.nbki.ru
... config
accept = 10.1.2.103:1501
connect = 195.10.198.201:443
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 10.08.2017(UTC) Сообщений: 5 Откуда: Новосибирск
|
Спасибо за ответ. config: [nbki] accept = 10.1.2.103:1501 connect = 195.10.198.201:443 client = yes verify = 0 hosts: 10.1.2.103 icrs.nbki.ru Далее делаю: curl -X POST http://icrs.nbki.ru:1501/products/B2BRequestServlet curl: (56) Recv failure: Connection was reset Напрямую: curl -X POST https://195.10.198.201:443/products/B2BRequestServlet curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure В общем что-то не сростается господа...
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,602 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 397 раз в 367 постах
|
У меня на обычный запрос GET этого адреса в IE пишет, что у сервера недействительный сертификат, если продолжить возвращается xml подписанный сертификатом от тестового УЦ КриптоПро (гост 2012).
Желательно посмотреть протокол stunnel, возможно дело в сертификате или поддержке renegotiation.
Рекомендую попробовать через stunnel-msspi, так как эта версия поддерживает renegotiation и, например, на ЕИС (госзакупки) без нее не подключиться.
Если сервер запрашивает сертификат клиента, то в конфиге не хватает информации о сертификате клиента:
cert=отпечаток_сертификата (сертификат должен быть в хранилище Личные с привязкой закрытого ключа)
pin=пароль
Параметры для версии stunnel-msspi, на простом stunnel другие.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
