Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Павел Гужанов  
#1 Оставлено : 9 сентября 2021 г. 12:35:56(UTC)
Павел Гужанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2021(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Здравствуйте.
Установил сертификат на компьютере (Windows10 x64), заполнил stunnel.conf, установил и запустил службу stunnel.
stunnel.conf:
output=c:\stunnel_cli2.log
debug = 7
[https]
msspi = yes
client = yes
accept = 1543
connect = хост_получателя
cert = отпечаток_моего_сертификата
pin = пароль_сертификата
verify = 2

Пытаюсь отправить запрос через Postmann:
http://localhost:1543/далее_url_апи_получателя.
Получатель запрос отклоняет.
В логе stunnel вижу сообщение:
msspi: try open cert = "отпечаток_моего_сертификата" as file
msspi: add_mycert failed: "can not open file" (cert = "отпечаток_моего_сертификата")

Подскажите, почему может не загружаться файл?
Если нужна какая-то еще информация, напишите какая, я сообщу
Offline Андрей *  
#2 Оставлено : 9 сентября 2021 г. 12:53:26(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,563
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
Здравствуйте.

А сертификат в правильном хранилище?
Локальный компьютер?

Панель управления\КриптоПРО CSP
Общие\Запустить с правами администратора

Сервис\Протестировать, контейнер компьютера - видит\тестируется?

csp_settings.png (16kb) загружен 2 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline Павел Гужанов  
#3 Оставлено : 9 сентября 2021 г. 13:01:49(UTC)
Павел Гужанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2021(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Хранилище "Локальный компьютер"
cert.jpg (60kb) загружен 3 раз(а).
Offline Андрей *  
#4 Оставлено : 9 сентября 2021 г. 13:09:45(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,563
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
Автор: Павел Гужанов Перейти к цитате
Хранилище "Локальный компьютер"
cert.jpg (60kb) загружен 3 раз(а).


По документации:

указывается путь к файлу в DER-кодировке.
Snimok ehkrana ot 2021-09-09 14-09-06.png (14kb) загружен 6 раз(а).
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#5 Оставлено : 9 сентября 2021 г. 13:32:53(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,342
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 90 раз
Поблагодарили: 312 раз в 294 постах
Просто тут дело в том, что отпечаток работает только для stunnel-msspi, там же таблица 2. Для обычного stunnel указывается имя файла. Задающий вопрос запустил файл программы не для такого формата конфига.

Отредактировано пользователем 9 сентября 2021 г. 13:34:17(UTC)  | Причина: Не указана

Offline Павел Гужанов  
#6 Оставлено : 9 сентября 2021 г. 13:42:30(UTC)
Павел Гужанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2021(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Что-то я не могу найти путь к скртификату
Подскажите, где его можно посмотреть?

Отредактировано пользователем 9 сентября 2021 г. 13:55:40(UTC)  | Причина: Не указана

Offline Андрей *  
#7 Оставлено : 9 сентября 2021 г. 13:56:30(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,563
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
Автор: Павел Гужанов Перейти к цитате
Что-то я не могу найти путь к файлу .der
Подскажите, где его можно посмотреть?


Сохраните файл с сертификатом в папку,
которая доступна приложению, укажите этот путь.
Например, c:\stunnel\tls.cer
Техническую поддержку оказываем тут
Наша база знаний
Offline Павел Гужанов  
#8 Оставлено : 9 сентября 2021 г. 14:38:57(UTC)
Павел Гужанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2021(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Скопировал сертификат в папку
c:\cryptopro\, файл назвал pro.cer
Ошибка
2021.09.09 14:31:56 LOG6[0]: msspi: try open cert = "c:\cryptopro\pro.cer" as file
2021.09.09 14:31:56 LOG3[0]: msspi: add_mycert failed: "bad file format" (cert = "c:\cryptopro\pro.cer")
Попробовал оставить у файла то же имя, с которым он был получен
Ошибка
2021.09.09 14:35:11 LOG6[0]: msspi: try open cert = "c:\cryptopro\имя_файла.cer" as file
2021.09.09 14:35:11 LOG3[0]: msspi: add_mycert failed: "can not open file" (cert = "c:\cryptopro\имя_файла.cer")
тут ошибка видимо из-за того, что имя файла содержит кириллицу, кавычки и скобки

Почему получается bad file format?
Offline Андрей *  
#9 Оставлено : 9 сентября 2021 г. 15:14:56(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,563
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
Автор: Павел Гужанов Перейти к цитате
Скопировал сертификат в папку
c:\cryptopro\, файл назвал pro.cer
Ошибка
2021.09.09 14:31:56 LOG6[0]: msspi: try open cert = "c:\cryptopro\pro.cer" as file
2021.09.09 14:31:56 LOG3[0]: msspi: add_mycert failed: "bad file format" (cert = "c:\cryptopro\pro.cer")
Попробовал оставить у файла то же имя, с которым он был получен
Ошибка
2021.09.09 14:35:11 LOG6[0]: msspi: try open cert = "c:\cryptopro\имя_файла.cer" as file
2021.09.09 14:35:11 LOG3[0]: msspi: add_mycert failed: "can not open file" (cert = "c:\cryptopro\имя_файла.cer")
тут ошибка видимо из-за того, что имя файла содержит кириллицу, кавычки и скобки

Почему получается bad file format?



Сертификат должен быть в DER-формате.
Откройте и пересохраните его в файл (Состав\Копировать ...)
Техническую поддержку оказываем тут
Наша база знаний
Offline Павел Гужанов  
#10 Оставлено : 9 сентября 2021 г. 15:34:07(UTC)
Павел Гужанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2021(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

2021.09.09 15:31:05 LOG6[0]: msspi: try open cert = "c:\cryptopro\cert.der" as file
2021.09.09 15:31:05 LOG3[0]: msspi: add_mycert failed: "bad file format" (cert = "c:\cryptopro\cert.der")
Все то же самое
Offline Павел Гужанов  
#11 Оставлено : 10 сентября 2021 г. 10:42:36(UTC)
Павел Гужанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2021(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

Попробовал установить все на сервере Ubuntu
Конфиг:
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[https]
client = yes
accept = 1543
connect = Хост_получателя
cert = /opt/my_app/ssl/cert.der
verify = 2

Запрос:
http:\\localhost:1543\путь к апи получателя

В логе:
2021.09.10 10:38:04 LOG7[25774:140425137858304]: start SSPI connect
2021.09.10 10:38:04 LOG5[25774:140425137858304]: try to read the client certificate
2021.09.10 10:38:04 LOG7[25774:140425137858304]: open file /opt/my_app/ssl/cert.der with certificate
2021.09.10 10:38:04 LOG3[25774:140425137858304]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2021.09.10 10:38:04 LOG3[25774:140425137858304]: Credentials complete
2021.09.10 10:38:04 LOG3[25774:140425137858304]: Error creating credentials
2021.09.10 10:38:04 LOG5[25774:140425137858304]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2021.09.10 10:38:04 LOG7[25774:140425137858304]: free Buffers
2021.09.10 10:38:04 LOG5[25774:140425137858304]: incomp_mess = 0, extra_data = 0
Offline Андрей *  
#12 Оставлено : 10 сентября 2021 г. 10:55:50(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,563
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
Автор: Павел Гужанов Перейти к цитате

2021.09.10 10:38:04 LOG7[25774:140425137858304]: open file /opt/my_app/ssl/cert.der with certificate
2021.09.10 10:38:04 LOG3[25774:140425137858304]: **** Error 0x80090304 returned by AcquireCredentialsHandle


протестируйте сертификат\ссылка есть на закрытый ключ?
Техническую поддержку оказываем тут
Наша база знаний
Offline Павел Гужанов  
#13 Оставлено : 10 сентября 2021 г. 11:27:34(UTC)
Павел Гужанов

Статус: Новичок

Группы: Участники
Зарегистрирован: 09.09.2021(UTC)
Сообщений: 7
Российская Федерация
Откуда: Москва

ctrt1.jpg (13kb) загружен 4 раз(а).
Получается, что нет ссылки.
Что делать в этом случае?

Отредактировано пользователем 10 сентября 2021 г. 11:41:33(UTC)  | Причина: Не указана

Offline Андрей *  
#14 Оставлено : 10 сентября 2021 г. 12:13:55(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 10,563
Мужчина
Российская Федерация

Сказал «Спасибо»: 388 раз
Поблагодарили: 1586 раз в 1221 постах
установить сертификат с указанием контейнера.
Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.