Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
|
Добрый день! 1. Скачал и установил под Ubuntu desktop 20.04 lts пакет cryptopro csp 4.0.9963-5 2. При установке выбрал дополнительный модуль stunnel После установки доустановил пакет cprocsp-rsa-64_4.0.9963-5_amd64.deb для корректного импорта сертификата в формате pfx Код:apt-get install ./cprocsp-rsa-64_4.0.9963-5_amd64.deb
3. Импортировал свой сертификат MySert.pfx Код:/opt/cprocsp/bin/amd64/certmgr -install -pfx -file /home/antony/MySert.pfx -pin 12345678
4. Импортировал корневой сертификат сервера RServer.cer, к которому я буду подключаться Код:/opt/cprocsp/bin/amd64/certmgr -install -store mRoot -file ./RServer.cer
5. Создал конфигурационный файл для запуска stunnel Код:pid = /tmp/stunnel.pid
output = /home/antony/stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
foreground = yes
[https]
client = yes
accept = 8080
connect = 195.159.114.166:6443
verify = 3
6. Запустил stunnel Код:/opt/cprocsp/sbin/amd64/stunnel_thread ./stunnel.conf
И при подключении в логах выдается ошибка: Код:No error on CertGetCertificateChain
Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
Error 0x800b010f returned by VerifyCertChain
**** Error 0x800b010f authenticating server credentials!
Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
Подскажите в чем ошибка? Отредактировано пользователем 5 октября 2021 г. 10:52:39(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Эксперт
Группы: Участники
Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,536  Откуда: Иркутская область Сказал(а) «Спасибо»: 105 раз
Поблагодарили: 375 раз в 354 постах
|
Добрый день. Цитата:Error ... authenticating server credentials! Вкратце, когда указываете verify отличное от нуля, тем более 3, нужно задать список сертификатов (либо хранилище сертификатов) сервера, которые будут приниматься. Для теста можно попробовать с verify=0, если соединение пройдет, то настроить список сертификатов.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
|
С verify=0 соединение проходит Сделал экспорт своего сертификата MySert из хранилища Код:/opt/cprocsp/bin/amd64/certmgr -export -dest client.cer -cont 'HDIMAGE\\gek86qcu.000\9B30'
Прописал в stunnel.conf cert=./client.cer Код:pid = /tmp/stunnel.pid
output = /home/antony/stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
foreground = yes
[https]
client = yes
accept = 8080
connect = 195.159.114.166:6443
cert = ./client.cer
verify = 2
Ошибка осталась
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 2,959  Сказал «Спасибо»: 48 раз
Поблагодарили: 660 раз в 620 постах
|
Здравствуйте. Судя по ошибке CERT_E_CN_NO_MATCH происходит попытка подключения к серверу, в сертификате которого ни в CN (Common Name), ни в DNS-имени в расширении SAN (Subject Alternative Name) нет используемого в конфигурационном файле stunnel значения: Код:connect = 195.159.114.166:6443
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
|
Можно ли как то эту проверку отключить, чтобы убедиться в этой проблеме?
Т.к. в документации про такие нюансы ни чего не сказано.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 2,959 Сказал «Спасибо»: 48 раз
Поблагодарили: 660 раз в 620 постах
|
Автор: CarTer  Можно ли как то эту проверку отключить, чтобы убедиться в этой проблеме?
Т.к. в документации про такие нюансы ни чего не сказано. Попробуйте использовать команду (от root или через sudo): Код:/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long Rfc6125_NotStrict_ServerName_Check 1
для отключения этой проверки (замените 1 на 0 если нужно будет вернуть настройку обратно). |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
|
Цитата:/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long Rfc6125_NotStrict_ServerName_Check 1 Все равно появляется ошибка CERT_E_CN_NO_MATCH
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 2,959 Сказал «Спасибо»: 48 раз
Поблагодарили: 660 раз в 620 постах
|
Автор: CarTer Цитата:/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\parameters' -add long Rfc6125_NotStrict_ServerName_Check 1 Все равно появляется ошибка CERT_E_CN_NO_MATCH Перезапускали stunnel? Если используете КриптоПро CSP с провайдером KC2, то нужно перезапустить службу cprocsp, чтобы учесть изменение параметра (от root или через sudo) |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
|
stunnel каждый раз перезапускал Используеться KC1, попробовал и службу перезапустить Ошибка осталась Код:2021.10.01 00:26:20 LOG5[6858:140622749980416]: No error on CertGetCertificateChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f returned by VerifyCertChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: **** Error 0x800b010f authenticating server credentials!
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 30.06.2016(UTC) Сообщений: 2,959 Сказал «Спасибо»: 48 раз
Поблагодарили: 660 раз в 620 постах
|
Автор: CarTer stunnel каждый раз перезапускал Используеться KC1, попробовал и службу перезапустить Ошибка осталась Код:2021.10.01 00:26:20 LOG5[6858:140622749980416]: No error on CertGetCertificateChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f returned by VerifyCertChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: **** Error 0x800b010f authenticating server credentials!
Здравствуйте. Можете приложить серверный сертификат? |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
|
Автор: Александр Лавник Автор: CarTer stunnel каждый раз перезапускал Используеться KC1, попробовал и службу перезапустить Ошибка осталась Код:2021.10.01 00:26:20 LOG5[6858:140622749980416]: No error on CertGetCertificateChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f (CERT_E_CN_NO_MATCH) returned by CertVerifyCertificateChainPolicy!
2021.10.01 00:26:20 LOG3[6858:140622749980416]: Error 0x800b010f returned by VerifyCertChain
2021.10.01 00:26:20 LOG3[6858:140622749980416]: **** Error 0x800b010f authenticating server credentials!
Здравствуйте. Можете приложить серверный сертификат? Отправил в личку
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
|
Проблему удалось решить прописав на клиенте в файле hosts операционной системы, доменное имя указанное в сертификате из поля "Subject Alternative Name" + ip (195.159.114.166) В конфиге stunnel указываем доменное имя, а не ip Код:connect = domane.name:6443
параметра Rfc6125_NotStrict_ServerName_Check -- не работает Судя по нашему баг-трекеру, возможность использования IP-адреса из SubjectAltName для stunnel будет добавлена только в будущих (пока еще невыпущенных) релизах КриптоПро CSP.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 30.09.2021(UTC)
Сообщений: 8
|
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
