Статус: Новичок
Группы: Участники
Зарегистрирован: 17.09.2020(UTC) Сообщений: 3  Откуда: Ростов-на-Дону
|
Добрый день. Работаю с ГИС ЖКХ. КриптоПро версии 4.0.9969 используется для подписания запросов, а stunnel из комплекта КриптоПро для установки защищенного соединения. Получил новый сертификат в связи с истечением старого и не могу добиться его работы в том же окружении. Сертификат установил, с его помощью успешно подписываются запросы. Но stunnel не хочет с ним работать. Изначальный конфиг stunnel
Код:
output=C:\stunnel\stunnel.log
socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1
debug=7
[https]
client=yes
accept=127.0.0.1:8080
connect=api.dom.gosuslugi.ru:443
cert=C:\stunnel\client.cer
verify=0
Для него выдает ошибку **** Error 0x80090304 returned by AcquireCredentialsHandle
Код:
2022.09.29 15:24:05 LOG5[6280:4888]: stunnel 4.18 on x86-pc-unknown
2022.09.29 15:24:05 LOG5[6280:4888]: Threading:WIN32 Sockets:SELECT,IPv6
2022.09.29 15:24:05 LOG5[6280:4888]: No limit detected for the number of clients
2022.09.29 15:24:05 LOG7[6280:4888]: FD 276 in non-blocking mode
2022.09.29 15:24:05 LOG7[6280:4888]: SO_REUSEADDR option set on accept socket
2022.09.29 15:24:05 LOG7[6280:4888]: https bound to 127.0.0.1:8080
2022.09.29 15:24:20 LOG7[6280:4888]: https accepted FD=280 from 127.0.0.1:56201
2022.09.29 15:24:20 LOG7[6280:4888]: Creating a new thread
2022.09.29 15:24:20 LOG7[6280:4888]: New thread created
2022.09.29 15:24:20 LOG7[6280:6304]: client start
2022.09.29 15:24:20 LOG7[6280:6304]: https started
2022.09.29 15:24:20 LOG7[6280:6304]: FD 280 in non-blocking mode
2022.09.29 15:24:20 LOG7[6280:6304]: TCP_NODELAY option set on local socket
2022.09.29 15:24:20 LOG5[6280:6304]: https connected from 127.0.0.1:56201
2022.09.29 15:24:20 LOG7[6280:6304]: FD 356 in non-blocking mode
2022.09.29 15:24:20 LOG7[6280:6304]: https connecting
2022.09.29 15:24:20 LOG7[6280:6304]: connect_wait: waiting 10 seconds
2022.09.29 15:24:20 LOG7[6280:6304]: connect_wait: connected
2022.09.29 15:24:20 LOG7[6280:6304]: Remote FD=356 initialized
2022.09.29 15:24:20 LOG7[6280:6304]: TCP_NODELAY option set on remote socket
2022.09.29 15:24:20 LOG7[6280:6304]: start SSPI connect
2022.09.29 15:24:20 LOG5[6280:6304]: try to read the client certificate
2022.09.29 15:24:20 LOG7[6280:6304]: open file C:\stunnel\client.cer with certificate
2022.09.29 15:24:20 LOG3[6280:6304]: **** Error 0x80090304 returned by AcquireCredentialsHandle
2022.09.29 15:24:20 LOG3[6280:6304]: Credentials complete
2022.09.29 15:24:20 LOG3[6280:6304]: Error creating credentials
2022.09.29 15:24:20 LOG5[6280:6304]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.09.29 15:24:20 LOG7[6280:6304]: free Buffers
Нашел на форуме совет добавить в конфиг строчку pincode=12345678После этого возникает ошибка CryptAcquireCertificatePrivateKey failed. Error = 0x80090016
Код:
2022.09.29 15:28:27 LOG5[6880:3380]: stunnel 4.18 on x86-pc-unknown
2022.09.29 15:28:27 LOG5[6880:3380]: Threading:WIN32 Sockets:SELECT,IPv6
2022.09.29 15:28:27 LOG5[6880:3380]: No limit detected for the number of clients
2022.09.29 15:28:27 LOG7[6880:3380]: FD 276 in non-blocking mode
2022.09.29 15:28:27 LOG7[6880:3380]: SO_REUSEADDR option set on accept socket
2022.09.29 15:28:27 LOG7[6880:3380]: https bound to 127.0.0.1:8080
2022.09.29 15:28:37 LOG7[6880:3380]: https accepted FD=280 from 127.0.0.1:56225
2022.09.29 15:28:37 LOG7[6880:3380]: Creating a new thread
2022.09.29 15:28:37 LOG7[6880:3380]: New thread created
2022.09.29 15:28:37 LOG7[6880:3108]: client start
2022.09.29 15:28:37 LOG7[6880:3108]: https started
2022.09.29 15:28:37 LOG7[6880:3108]: FD 280 in non-blocking mode
2022.09.29 15:28:37 LOG7[6880:3108]: TCP_NODELAY option set on local socket
2022.09.29 15:28:37 LOG5[6880:3108]: https connected from 127.0.0.1:56225
2022.09.29 15:28:37 LOG7[6880:3108]: FD 356 in non-blocking mode
2022.09.29 15:28:37 LOG7[6880:3108]: https connecting
2022.09.29 15:28:37 LOG7[6880:3108]: connect_wait: waiting 10 seconds
2022.09.29 15:28:37 LOG7[6880:3108]: connect_wait: connected
2022.09.29 15:28:37 LOG7[6880:3108]: Remote FD=356 initialized
2022.09.29 15:28:37 LOG7[6880:3108]: TCP_NODELAY option set on remote socket
2022.09.29 15:28:37 LOG7[6880:3108]: start SSPI connect
2022.09.29 15:28:37 LOG5[6880:3108]: try to read the client certificate
2022.09.29 15:28:37 LOG7[6880:3108]: open file C:\stunnel\client.cer with certificate
2022.09.29 15:28:37 LOG5[6880:3108]: pincode option is present. Call CryptSetProvParam
2022.09.29 15:28:37 LOG3[6880:3108]: CryptAcquireCertificatePrivateKey failed. Error = 0x80090016
2022.09.29 15:28:37 LOG3[6880:3108]: Error creating credentials
2022.09.29 15:28:37 LOG5[6880:3108]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.09.29 15:28:37 LOG7[6880:3108]: free Buffers
2022.09.29 15:28:37 LOG5[6880:3108]: incomp_mess = 0, extra_data = 0
2022.09.29 15:28:37 LOG7[6880:3108]: https finished (0 left)
Прошу совета в решении возникшей проблемы.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.09.2020(UTC) Сообщений: 3 Откуда: Ростов-на-Дону
|
Все еще не могу решить проблему. Прошу помощи. Пробовал: - Переустанавливал сертификат - Обновил КриптоПро до версии 5.0.11455 - Установил stunnel-msspi - Сохранял сертификат в формате Х.509 в кодировке Base-64 Использую Windows 7, служба stunnel запускается от имени того же пользователя, под которым установлен сертификат. Файл конфигурации stunnel: Код:output=C:\stunnel\stunnel.log
socket=l:TCP_NODELAY=1
socket=r:TCP_NODELAY=1
debug=7
[https]
client=yes
accept=127.0.0.1:8080
connect=api.dom.gosuslugi.ru:443
cert=C:\stunnel\client.cer
pincode=12345678
verify=0
При использовании stunnel.x64.exe возникает ошибка CryptAcquireCertificatePrivateKey failed. Error = 0x8009001a, а при сохранении в формате Base-64 CertCreateCertificateContext(der) failed: 2148086027d. Trying certificate as base64и после этого записей в логе нет, похоже процесс подвисает. При использовании stunnel-msspi.exe возникает ошибка msspi: msspi_set_mycert_options failed (cert = "C:\stunnel\client.cer", pin = "12345678")одинаковая для форматов DER и Base-64. При этом процесс не зависает, лог пишется полностью. Лог файл для stunnel-msspi.exe: Код:2022.10.05 12:01:00 LOG6[service]: Initializing inetd mode configuration
2022.10.05 12:01:00 LOG7[service]: Running on Windows 6.1
2022.10.05 12:01:00 LOG7[service]: No limit detected for the number of clients
2022.10.05 12:01:00 LOG5[service]: stunnel 5.65 on x86-pc-msvc-1900 platform
2022.10.05 12:01:00 LOG5[service]: Compiled without OPENSSL
2022.10.05 12:01:00 LOG5[service]: Threading:WIN32 Sockets:SELECT,IPv6 TLS:OCSP,SNI
2022.10.05 12:01:00 LOG7[service]: errno: (*_errno())
2022.10.05 12:01:00 LOG6[service]: Initializing inetd mode configuration
2022.10.05 12:01:00 LOG7[service]: Running on Windows 6.1
2022.10.05 12:01:00 LOG5[service]: Reading configuration from file c:\stunnel\stunnel.conf
2022.10.05 12:01:00 LOG5[service]: UTF-8 byte order mark not detected
2022.10.05 12:01:00 LOG6[service]: Initializing service [https]
2022.10.05 12:01:00 LOG5[service]: Configuration successful
2022.10.05 12:01:00 LOG7[service]: Deallocating deployed section defaults
2022.10.05 12:01:00 LOG7[service]: Binding service [https]
2022.10.05 12:01:00 LOG7[service]: Listening file descriptor created (FD=440)
2022.10.05 12:01:00 LOG7[service]: Setting accept socket options (FD=440)
2022.10.05 12:01:00 LOG7[service]: Option SO_EXCLUSIVEADDRUSE set on accept socket
2022.10.05 12:01:00 LOG6[service]: Service [https] (FD=440) bound to 127.0.0.1:8080
2022.10.05 12:01:14 LOG7[service]: Found 1 ready file descriptor(s)
2022.10.05 12:01:14 LOG7[service]: FD=400 ifds=r-x ofds=---
2022.10.05 12:01:14 LOG7[service]: FD=440 ifds=r-x ofds=r--
2022.10.05 12:01:14 LOG7[service]: Service [https] accepted (FD=448) from 127.0.0.1:49394
2022.10.05 12:01:14 LOG7[service]: Creating a new thread
2022.10.05 12:01:14 LOG7[service]: New thread created
2022.10.05 12:01:14 LOG7[0]: Service [https] started
2022.10.05 12:01:14 LOG7[0]: Setting local socket options (FD=448)
2022.10.05 12:01:14 LOG7[0]: Option TCP_NODELAY set on local socket
2022.10.05 12:01:14 LOG5[0]: Service [https] accepted connection from 127.0.0.1:49394
2022.10.05 12:01:14 LOG6[0]: s_connect: connecting 217.107.108.116:443
2022.10.05 12:01:14 LOG7[0]: s_connect: s_poll_wait 217.107.108.116:443: waiting 10 seconds
2022.10.05 12:01:14 LOG7[0]: FD=464 ifds=rwx ofds=---
2022.10.05 12:01:14 LOG5[0]: s_connect: connected 217.107.108.116:443
2022.10.05 12:01:14 LOG5[0]: Service [https] connected remote server from 192.168.1.17:49395
2022.10.05 12:01:14 LOG7[0]: Setting remote socket options (FD=464)
2022.10.05 12:01:14 LOG7[0]: Option TCP_NODELAY set on remote socket
2022.10.05 12:01:14 LOG7[0]: Remote descriptor (FD=464) initialized
2022.10.05 12:01:14 LOG6[0]: msspi: try open cert = "C:\stunnel\client.cer" as file
2022.10.05 12:01:14 LOG3[0]: msspi: msspi_set_mycert_options failed (cert = "C:\stunnel\client.cer", pin = "12345678")
2022.10.05 12:01:14 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2022.10.05 12:01:14 LOG7[0]: Remote descriptor (FD=464) closed
2022.10.05 12:01:14 LOG7[0]: Local descriptor (FD=448) closed
2022.10.05 12:01:14 LOG7[0]: Service [https] finished (0 left
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 05.04.2017(UTC) Сообщений: 363  Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2022(UTC) Сообщений: 2
|
Добрый день!
Аналогичная проблема, после истечения срока сертификата тензора с заменой на ФНС, такая вот история
2022.11.07 19:32:19 LOG7[4220:4304]: https accepted FD=144 from 127.0.0.1:57080
2022.11.07 19:32:19 LOG7[4220:4304]: Creating a new thread
2022.11.07 19:32:19 LOG7[4220:4304]: New thread created
2022.11.07 19:32:19 LOG7[4220:2596]: client start
2022.11.07 19:32:19 LOG7[4220:2596]: https started
2022.11.07 19:32:19 LOG7[4220:2596]: FD 144 in non-blocking mode
2022.11.07 19:32:19 LOG7[4220:2596]: TCP_NODELAY option set on local socket
2022.11.07 19:32:19 LOG5[4220:2596]: https connected from 127.0.0.1:57080
2022.11.07 19:32:19 LOG7[4220:2596]: FD 644 in non-blocking mode
2022.11.07 19:32:19 LOG7[4220:2596]: https connecting
2022.11.07 19:32:19 LOG7[4220:2596]: connect_wait: waiting 10 seconds
2022.11.07 19:32:19 LOG7[4220:2596]: connect_wait: connected
2022.11.07 19:32:19 LOG7[4220:2596]: Remote FD=644 initialized
2022.11.07 19:32:19 LOG7[4220:2596]: TCP_NODELAY option set on remote socket
2022.11.07 19:32:19 LOG7[4220:2596]: start SSPI connect
2022.11.07 19:32:19 LOG5[4220:2596]: try to read the client certificate
2022.11.07 19:32:19 LOG7[4220:2596]: open file C:\Stunnel\clicer.cer with certificate
2022.11.07 19:32:19 LOG5[4220:2596]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2022.11.07 19:32:19 LOG5[4220:2596]: pincode option is present. Call CryptSetProvParam
2022.11.07 19:32:19 LOG3[4220:2596]: CryptAcquireCertificatePrivateKey failed. Error = 0x80090016
2022.11.07 19:32:19 LOG3[4220:2596]: Error creating credentials
2022.11.07 19:32:19 LOG5[4220:2596]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.11.07 19:32:19 LOG7[4220:2596]: free Buffers
2022.11.07 19:32:19 LOG5[4220:2596]: incomp_mess = 0, extra_data = 0
2022.11.07 19:32:19 LOG7[4220:2596]: https finished (0 left)
Нашлось решение?
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 17.09.2020(UTC) Сообщений: 3 Откуда: Ростов-на-Дону
|
Мне в конце концов помог переход на windows 10 и КриптоПро 5.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,672 Сказал «Спасибо»: 572 раз
Поблагодарили: 2301 раз в 1802 постах
|
Автор: pavlovskiy.an  Добрый день!
Аналогичная проблема, после истечения срока сертификата тензора с заменой на ФНС, такая вот история
2022.11.07 19:32:19 LOG7[4220:4304]: https accepted FD=144 from 127.0.0.1:57080
2022.11.07 19:32:19 LOG7[4220:4304]: Creating a new thread
2022.11.07 19:32:19 LOG7[4220:4304]: New thread created
2022.11.07 19:32:19 LOG7[4220:2596]: client start
2022.11.07 19:32:19 LOG7[4220:2596]: https started
2022.11.07 19:32:19 LOG7[4220:2596]: FD 144 in non-blocking mode
2022.11.07 19:32:19 LOG7[4220:2596]: TCP_NODELAY option set on local socket
2022.11.07 19:32:19 LOG5[4220:2596]: https connected from 127.0.0.1:57080
2022.11.07 19:32:19 LOG7[4220:2596]: FD 644 in non-blocking mode
2022.11.07 19:32:19 LOG7[4220:2596]: https connecting
2022.11.07 19:32:19 LOG7[4220:2596]: connect_wait: waiting 10 seconds
2022.11.07 19:32:19 LOG7[4220:2596]: connect_wait: connected
2022.11.07 19:32:19 LOG7[4220:2596]: Remote FD=644 initialized
2022.11.07 19:32:19 LOG7[4220:2596]: TCP_NODELAY option set on remote socket
2022.11.07 19:32:19 LOG7[4220:2596]: start SSPI connect
2022.11.07 19:32:19 LOG5[4220:2596]: try to read the client certificate
2022.11.07 19:32:19 LOG7[4220:2596]: open file C:\Stunnel\clicer.cer with certificate
2022.11.07 19:32:19 LOG5[4220:2596]: CertFindCertificateInStore not find client certificate in store CURRENT_USER. Looking at LOCAL_MACHINE
2022.11.07 19:32:19 LOG5[4220:2596]: pincode option is present. Call CryptSetProvParam
2022.11.07 19:32:19 LOG3[4220:2596]: CryptAcquireCertificatePrivateKey failed. Error = 0x80090016
2022.11.07 19:32:19 LOG3[4220:2596]: Error creating credentials
2022.11.07 19:32:19 LOG5[4220:2596]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.11.07 19:32:19 LOG7[4220:2596]: free Buffers
2022.11.07 19:32:19 LOG5[4220:2596]: incomp_mess = 0, extra_data = 0
2022.11.07 19:32:19 LOG7[4220:2596]: https finished (0 left)
Нашлось решение? CryptAcquireCertificatePrivateKey failed. Error = 0x80090016 набор ключей не существует А что Вы сделали после получения нового сертификата? Просто заменили файл с сертификатом? И дополнительно.. "добавили в Личное текущего компьютера" без связи с контейнером...? Его необходимо установить через панель управления КриптоПРО CSP\Сервис\Установить личный сертификат... |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 07.11.2022(UTC) Сообщений: 2
|
Конечно серт установлен в личные и экспортирован в директорию стунеля. Стунель крутится на отдельном скл и сервере1с (rphost), к которому пользователи не подключаются, а работают в терминале, на котором просто 1с предприятие, т.е два сервера. Связать с контейнером можно, если он в реестре или на флэшке/рутокене подсоединённом к машине с стунелем. Т.к. ключ ФНС можно только ставить и работать, скопировать его нельзя - в этом была вся засада. Проблему решил. Можно вопрос закрыть.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
