Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 21 Откуда: Moscow
|
Добрый день. Хотелось бы попробовать продукт stunnel. Такая конфигурация серверную часть на linux, клиентскую на windows. Начал с серверной части. Скачал Крипто Про по ссылке https://www.cryptopro.ru...9914/linux-amd64_deb.tgzустановил скриптом install.sh проверил что работает запуском /opt/cprocsp/sbin/amd64# ./cpconfig -license -view License validity: 4040E-G0037-EK8R3-C6K4U-HCXQG Expires: 3 month(s) 2 day(s) License type: Server. Прочитал столько всяких гайдов и в итоге ничего не понятно. Единственное что понял, что нужно установить сертификаты, но что это за сертификаты и где их взять и как устанавливать толком не понятно. Не могли бы вы подсказать с этим, а также что делать после установки сертификатов??
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,442 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 412 раз в 306 постах
|
Автор: Eugene_Moiseev1 Хотелось бы попробовать продукт stunnel.
...
Единственное что понял, что нужно установить сертификаты, но что это за сертификаты и где их взять и как устанавливать толком не понятно.
Не могли бы вы подсказать с этим, а также что делать после установки сертификатов?? Знание про сертификаты следует почерпнуть в теме PKI: https://ru.wikipedia.org...труктура_открытых_ключейТема "stunnel плюс ГОСТ" не простая и требует понимания основ работы с соответствующими продуктами. В настоящий момент, мы поддерживаем версию stunnel-msspi: https://github.com/deemru/stunnel/releases/latestСертификаты можно получить в УЦ, например для сервера и клиента соответственно (для клиента наличие сертификата не обязательно, это зависит от ваших требований): Код:/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -rdn 'CN=server.example.com' -cont '\\.\HDIMAGE\server.example.com' -certusage 1.3.6.1.5.5.7.3.1 -ku -du -ex -ca http://cryptopro.ru/certsrv
Код:/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -rdn 'CN=client.name.me' -cont '\\.\HDIMAGE\client.name.me' -certusage 1.3.6.1.5.5.7.3.2 -ku -du -ex -ca http://cryptopro.ru/certsrv
Тогда после установки сертификатов в конфигурациях stunnel-msspi сервера и клиента можно использовать соответственно: Код:[server]
accept = 443
cert = server.example.com
connect = 127.0.0.1:80
;verify = 2
Код:[client]
client = yes
;cert = client.name.me
accept = 80
connect = server.example.com:443
;verify = 2
Подробнее об опциях конфигурации stunnel: https://www.stunnel.org/static/stunnel.html |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 21 Откуда: Moscow
|
Спасибо. С PKI понятно. Но тогда непонятны следующие детали. Вот допустим я получаю тестовый сертификат от сервера по команде, написанной вами выше. "Сертификат содержит открытый ключ и подпись УЦ" : 1) Где будет распологаться физически этот сертификат? 2) Как получить закрытый ключ 3) И что нужно делать мне с этим сертификатом? Его нужно экспортировать и отдать на клиент windows? Клиенту тоже нужен какой-то закрытый ключ?
Нет ли пошаговой инструкции для чайников? С настройкой сервера и клиента и передачей тестового сообщения по stunnel?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,442 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 31 раз Поблагодарили: 412 раз в 306 постах
|
Автор: Eugene_Moiseev1 Спасибо. С PKI понятно. Но тогда непонятны следующие детали. Вот допустим я получаю тестовый сертификат от сервера по команде, написанной вами выше. "Сертификат содержит открытый ключ и подпись УЦ" : 1) Где будет распологаться физически этот сертификат? 2) Как получить закрытый ключ 3) И что нужно делать мне с этим сертификатом? Его нужно экспортировать и отдать на клиент windows? Клиенту тоже нужен какой-то закрытый ключ?
Нет ли пошаговой инструкции для чайников? С настройкой сервера и клиента и передачей тестового сообщения по stunnel? О такой инструкции нам не известно. На данном форуме по умолчанию предполагается, что участник владеет базовыми знаниями по соответствующей тематике, поэтому здесь вы не получите ответы на поставленные вопросы, их придётся найти самостоятельно, например прочитав документацию. |
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 21 Откуда: Moscow
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 31.08.2017(UTC) Сообщений: 21 Откуда: Moscow
|
Как проверить что сервер работает?? в логах только это и процесс есть, можно ли тестовое сообщение прогнать? Как это сделать? 2017.08.31 14:43:19 LOG5[33934:139998707726144]: stunnel 4.18 on x86_64-unknown-linux-gnu 2017.08.31 14:43:19 LOG5[33934:139998707726144]: Threading:PTHREAD Sockets:POLL,IPv4 Auth:LIBWRAP 2017.08.31 14:43:19 LOG6[33934:139998707726144]: file ulimit = 1048576 (can be changed with 'ulimit -n') 2017.08.31 14:43:19 LOG6[33934:139998707726144]: poll() used - no FD_SETSIZE limit for file descriptors 2017.08.31 14:43:19 LOG5[33934:139998707726144]: 0 clients allowed 2017.08.31 14:43:19 LOG7[33934:139998707726144]: FD 5 in non-blocking mode 2017.08.31 14:43:19 LOG7[33934:139998707726144]: FD 6 in non-blocking mode 2017.08.31 14:43:19 LOG7[33934:139998707726144]: FD 7 in non-blocking mode 2017.08.31 14:43:19 LOG7[33934:139998707726144]: SO_REUSEADDR option set on accept socket 2017.08.31 14:43:19 LOG7[33934:139998707726144]: server bound to 0.0.0.0:443 2017.08.31 14:43:19 LOG7[33935:139998707726144]: Created pid file /etc/stunnel/server.pid 2017.08.31 14:43:19 LOG7[33935:139998707726144]: open file /etc/stunnel/server.example.cer with certificate 2017.08.31 14:43:19 LOG5[33935:139998707726144]: CertFindCertificateInStore not find certificate in LOCAL_MACHINE store. Looking at CURRENT_USER 2017.08.31 14:43:19 LOG7[33935:139998707726144]: CreateServCreadentials finish Отредактировано пользователем 31 августа 2017 г. 17:50:32(UTC)
| Причина: Не указана
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close