Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline aitskovich  
#1 Оставлено : 4 декабря 2020 г. 18:01:28(UTC)
aitskovich

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.08.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Новосибирск

Добрый день.

Пытаюсь на винде с установленным КриптоПро CSP достучаться до https://icrs.nbki.ru:443
Делаю:

1) curl -X POST https://icrs.nbki.ru/products/B2BRequestServlet
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

2) Выкачал из internet explorer сертификат, который открывает этот файл, преобразовал его в .pem, делаю:
$ curl --cacert certRepo -X POST https://icrs.nbki.ru:443/products/B2BRequestServlet
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

не получается.

Пробовал пользоваться stunnel -> соединение внезнапно было прервано. Настройки stunnel.conf:
; Debugging stuff (may be useful for troubleshooting)

debug = 7

[nbki]
accept = 10.1.2.103:1501
connect = icrs.nbki.ru:443
client = yes
verify = 0

Делаю:
$ curl -X POST http://10.1.2.103:1501/products/B2BRequestServlet
curl: (56) Recv failure: Connection was reset

Не знаю что делать, помогите пожалуйста!!!
Offline pd  
#2 Оставлено : 4 декабря 2020 г. 18:51:20(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: aitskovich Перейти к цитате
Добрый день.

Пытаюсь на винде с установленным КриптоПро CSP достучаться до https://icrs.nbki.ru:443
Делаю:

1) curl -X POST https://icrs.nbki.ru/products/B2BRequestServlet
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

2) Выкачал из internet explorer сертификат, который открывает этот файл, преобразовал его в .pem, делаю:
$ curl --cacert certRepo -X POST https://icrs.nbki.ru:443/products/B2BRequestServlet
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

не получается.

Пробовал пользоваться stunnel -> соединение внезнапно было прервано. Настройки stunnel.conf:
; Debugging stuff (may be useful for troubleshooting)

debug = 7

[nbki]
accept = 10.1.2.103:1501
connect = icrs.nbki.ru:443
client = yes
verify = 0

Делаю:
$ curl -X POST http://10.1.2.103:1501/products/B2BRequestServlet
curl: (56) Recv failure: Connection was reset

Не знаю что делать, помогите пожалуйста!!!

С большой вероятностью stunnel отрабатывает корректно и ваш POST запрос идёт по HTTP 1.1, в котором указано "Host: 10.1.2.103:1501".

Как вы думаете к этому должен отнестить сервер icrs.nbki.ru:443?

Знания в базе знаний, поддержка в техподдержке
Offline aitskovich  
#3 Оставлено : 5 декабря 2020 г. 14:48:48(UTC)
aitskovich

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.08.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Новосибирск

ну я же делаю проброс:
connect = icrs.nbki.ru:443

Как мне было объяснено - stunnel шифрует трафик ГОСТом и коннектит к узлу.

В чем тут проблема?
Offline pd  
#4 Оставлено : 7 декабря 2020 г. 12:41:18(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: aitskovich Перейти к цитате
ну я же делаю проброс:
connect = icrs.nbki.ru:443

Как мне было объяснено - stunnel шифрует трафик ГОСТом и коннектит к узлу.

В чем тут проблема?

Как сказано выше, с большой вероятностью, TLS работает корректно, а ваш HTTP запрос внутри TLS некорректен.

Как минимум у него неверный Host: https://developer.mozill.../Web/HTTP/Заголовки/Host
Знания в базе знаний, поддержка в техподдержке
Offline two_oceans  
#5 Оставлено : 7 декабря 2020 г. 13:19:04(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: aitskovich Перейти к цитате
В чем тут проблема?
В двух словах: на компьютере, с которого коннектитесь к 10.1.2.103 приложение должно считать, что icrs.nbki.ru расположен по адресу 10.1.2.103 (в hosts пропишите, например или в локальном DNS-сервере) и адрес в приложении нужно задать как icrs.nbki.ru, тогда HTTP запрос будет корректен. Наоборот (если на DNS подменили адрес icrs.nbki.ru на 10.1.2.103), connect строку можно указывать по реальному ip от icrs.nbki.ru. Суммируя:
Код:
curl -X POST http://icrs.nbki.ru:1501/products/B2BRequestServlet
... hosts
10.1.2.103 icrs.nbki.ru
... config
accept = 10.1.2.103:1501
connect = 195.10.198.201:443

Offline aitskovich  
#6 Оставлено : 7 декабря 2020 г. 13:33:43(UTC)
aitskovich

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.08.2017(UTC)
Сообщений: 5
Российская Федерация
Откуда: Новосибирск

Спасибо за ответ.

config:
[nbki]
accept = 10.1.2.103:1501
connect = 195.10.198.201:443
client = yes
verify = 0

hosts:
10.1.2.103 icrs.nbki.ru

Далее делаю:
curl -X POST http://icrs.nbki.ru:1501/products/B2BRequestServlet
curl: (56) Recv failure: Connection was reset

Напрямую:
curl -X POST https://195.10.198.201:443/products/B2BRequestServlet
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

В общем что-то не сростается господа...
Offline two_oceans  
#7 Оставлено : 8 декабря 2020 г. 5:17:03(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
У меня на обычный запрос GET этого адреса в IE пишет, что у сервера недействительный сертификат, если продолжить возвращается xml подписанный сертификатом от тестового УЦ КриптоПро (гост 2012).
Желательно посмотреть протокол stunnel, возможно дело в сертификате или поддержке renegotiation.
Рекомендую попробовать через stunnel-msspi, так как эта версия поддерживает renegotiation и, например, на ЕИС (госзакупки) без нее не подключиться.

Если сервер запрашивает сертификат клиента, то в конфиге не хватает информации о сертификате клиента:
cert=отпечаток_сертификата (сертификат должен быть в хранилище Личные с привязкой закрытого ключа)
pin=пароль
Параметры для версии stunnel-msspi, на простом stunnel другие.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.