Татьяна написал:Про stannel: на сервере -- аутентификация сервера, на клиенте -- аутентификация клиента. Не совсем понятна фраза "данные сертификаты должны принадлежать одному и тому же контейнеру?". Закрытые ключи в общем случае используются разные.
Спасибо большое за ответ.
Но у меня возникла сложность теперь с настройкой stunnel по windows, установлен Crypro pro 3.6, установлен сертификат аутентификации сервера, CN или имя стоит "название компьютера.название домена.ru" , установлен корневой сертификат.
прописываю в конфиге все параметры, привожу пример для клиента
cert = c:\cer.cer
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
output=c:\TEMP\stunnel.log
client = yes
[https]
accept = 192.168.0.38:1500
connect = 192.168.0.218:1502
mutual_auth = no
служба создаётся, запускаю как локальную, но в логе ошибка
2010.09.06 14:54:48 LOG5[5796:1236]: stunnel 4.18 on x86-pc-unknown
2010.09.06 14:54:48 LOG5[5796:1236]: Threading:WIN32 Sockets:SELECT,IPv6
2010.09.06 14:54:48 LOG5[5796:1236]: No limit detected for the number of clients
2010.09.06 14:54:48 LOG7[5796:1236]: FD 168 in non-blocking mode
2010.09.06 14:54:48 LOG7[5796:1236]: SO_REUSEADDR option set on accept socket
2010.09.06 14:54:48 LOG7[5796:1236]: https bound to 192.168.0.38:1500
2010.09.06 14:52:27 LOG7[1256:3724]: Creating a new thread
2010.09.06 14:52:27 LOG7[1256:3724]: New thread created
2010.09.06 14:52:27 LOG7[1256:5644]: client start
2010.09.06 14:52:27 LOG7[1256:5644]: https started
2010.09.06 14:52:27 LOG7[1256:5644]: FD 64 in non-blocking mode
2010.09.06 14:52:27 LOG7[1256:5644]: TCP_NODELAY option set on local socket
2010.09.06 14:52:27 LOG5[1256:5644]: https connected from 192.168.0.38:2036
2010.09.06 14:52:27 LOG7[1256:5644]: FD 228 in non-blocking mode
2010.09.06 14:52:27 LOG7[1256:5644]: https connecting
2010.09.06 14:52:27 LOG7[1256:5644]: connect_wait: waiting 10 seconds
2010.09.06 14:52:27 LOG7[1256:5644]: connect_wait: connected
2010.09.06 14:52:27 LOG7[1256:5644]: Remote FD=228 initialized
2010.09.06 14:52:27 LOG7[1256:5644]: TCP_NODELAY option set on remote socket
2010.09.06 14:52:27 LOG7[1256:5644]: start SSPI connect
2010.09.06 14:52:27 LOG7[1256:5644]: open file c:\cer.cer with certificate
2010.09.06 14:52:27 LOG3[1256:5644]: Error 0x80092004 returned by CertFindCertificateInStore
2010.09.06 14:52:27 LOG3[1256:5644]: Error creating credentials
2010.09.06 14:52:27 LOG5[1256:5644]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2010.09.06 14:52:27 LOG7[1256:5644]: free Buffers
2010.09.06 14:52:27 LOG7[1256:5644]: delete c->hClientCreds
2010.09.06 14:52:27 LOG5[1256:5644]: incomp_mess = 0, extra_data = 0
2010.09.06 14:52:27 LOG7[1256:5644]: https finished (0 left)
а если запустить службу с учётной записью под которой вхожу в домен ( имя пользователя@имя домена.ru ) то в логах появляется ошибка
2010.09.06 14:54:48 LOG5[5796:1236]: stunnel 4.18 on x86-pc-unknown
2010.09.06 14:54:48 LOG5[5796:1236]: Threading:WIN32 Sockets:SELECT,IPv6
2010.09.06 14:54:48 LOG5[5796:1236]: No limit detected for the number of clients
2010.09.06 14:54:48 LOG7[5796:1236]: FD 168 in non-blocking mode
2010.09.06 14:54:48 LOG7[5796:1236]: SO_REUSEADDR option set on accept socket
2010.09.06 14:54:48 LOG7[5796:1236]: https bound to 192.168.0.38:1500
2010.09.06 14:56:46 LOG7[5796:1236]: https accepted FD=68 from 192.168.0.38:2231
2010.09.06 14:56:46 LOG7[5796:1236]: Creating a new thread
2010.09.06 14:56:46 LOG7[5796:1236]: New thread created
2010.09.06 14:56:46 LOG7[5796:2260]: client start
2010.09.06 14:56:46 LOG7[5796:2260]: https started
2010.09.06 14:56:46 LOG7[5796:2260]: FD 68 in non-blocking mode
2010.09.06 14:56:46 LOG7[5796:2260]: TCP_NODELAY option set on local socket
2010.09.06 14:56:46 LOG5[5796:2260]: https connected from 192.168.0.38:2231
2010.09.06 14:56:46 LOG7[5796:2260]: FD 228 in non-blocking mode
2010.09.06 14:56:46 LOG7[5796:2260]: https connecting
2010.09.06 14:56:46 LOG7[5796:2260]: connect_wait: waiting 10 seconds
2010.09.06 14:56:46 LOG7[5796:2260]: connect_wait: connected
2010.09.06 14:56:46 LOG7[5796:2260]: Remote FD=228 initialized
2010.09.06 14:56:46 LOG7[5796:2260]: TCP_NODELAY option set on remote socket
2010.09.06 14:56:46 LOG7[5796:2260]: start SSPI connect
2010.09.06 14:56:46 LOG7[5796:2260]: open file c:\cer.cer with certificate
2010.09.06 14:56:48 LOG3[5796:2260]: Credentials compleet
2010.09.06 14:56:48 LOG7[5796:2260]: 96 bytes of handshake data sent
2010.09.06 14:56:48 LOG5[5796:2260]: -1 bytes of handshake(in handshake loop) data received.
2010.09.06 14:56:48 LOG3[5796:2260]: **** Error 0x80090300 returned by InitializeSecurityContext (2)
2010.09.06 14:56:48 LOG3[5796:2260]: Error performing handshake
2010.09.06 14:56:48 LOG5[5796:2260]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2010.09.06 14:56:48 LOG7[5796:2260]: free Buffers
2010.09.06 14:56:48 LOG7[5796:2260]: delete c->hClientCreds
2010.09.06 14:56:48 LOG5[5796:2260]: incomp_mess = 0, extra_data = 0
2010.09.06 14:56:48 LOG7[5796:2260]: https finished (0 left)
от сюда у меня вопрос, что за ошибка во втором случае? и имя сертификата должно совпадать с именем компьютера и учетной записью в домене?
P.S. компьютер находится в домене имя компьютера = имя пользователя.имя домена.ru, когда устанавливаю свойства запуска службы с учётной записью домена то запись = имя пользователя@имя домена.ru
может поэтому и возникает ошибка потому что имя компьютера не совпадает с именем учётной записи в домене?
Отредактировано пользователем 6 сентября 2010 г. 19:09:54(UTC)
| Причина: Не указана