Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Eugene_Moiseev1  
#1 Оставлено : 31 августа 2017 г. 11:57:42(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Добрый день.
Хотелось бы попробовать продукт stunnel.
Такая конфигурация серверную часть на linux, клиентскую на windows.
Начал с серверной части.

Скачал Крипто Про по ссылке https://www.cryptopro.ru...9914/linux-amd64_deb.tgz

установил скриптом install.sh

проверил что работает запуском
/opt/cprocsp/sbin/amd64# ./cpconfig -license -view
License validity:
4040E-G0037-EK8R3-C6K4U-HCXQG
Expires: 3 month(s) 2 day(s)
License type: Server.

Прочитал столько всяких гайдов и в итоге ничего не понятно.

Единственное что понял, что нужно установить сертификаты, но что это за сертификаты и где их взять и как устанавливать толком не понятно.

Не могли бы вы подсказать с этим, а также что делать после установки сертификатов??
Offline Дмитрий Пичулин  
#2 Оставлено : 31 августа 2017 г. 13:07:50(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Eugene_Moiseev1 Перейти к цитате
Хотелось бы попробовать продукт stunnel.

...

Единственное что понял, что нужно установить сертификаты, но что это за сертификаты и где их взять и как устанавливать толком не понятно.

Не могли бы вы подсказать с этим, а также что делать после установки сертификатов??

Знание про сертификаты следует почерпнуть в теме PKI: https://ru.wikipedia.org...труктура_открытых_ключей

Тема "stunnel плюс ГОСТ" не простая и требует понимания основ работы с соответствующими продуктами.

В настоящий момент, мы поддерживаем версию stunnel-msspi: https://github.com/deemru/stunnel/releases/latest

Сертификаты можно получить в УЦ, например для сервера и клиента соответственно (для клиента наличие сертификата не обязательно, это зависит от ваших требований):

Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -rdn 'CN=server.example.com' -cont '\\.\HDIMAGE\server.example.com' -certusage 1.3.6.1.5.5.7.3.1  -ku -du -ex -ca http://cryptopro.ru/certsrv


Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -provtype 81 -rdn 'CN=client.name.me' -cont '\\.\HDIMAGE\client.name.me' -certusage 1.3.6.1.5.5.7.3.2  -ku -du -ex -ca http://cryptopro.ru/certsrv


Тогда после установки сертификатов в конфигурациях stunnel-msspi сервера и клиента можно использовать соответственно:

Код:
[server]
accept = 443
cert = server.example.com
connect = 127.0.0.1:80
;verify = 2


Код:
[client]
client = yes
;cert = client.name.me
accept = 80
connect = server.example.com:443
;verify = 2


Подробнее об опциях конфигурации stunnel: https://www.stunnel.org/static/stunnel.html



Знания в базе знаний, поддержка в техподдержке
Offline Eugene_Moiseev1  
#3 Оставлено : 31 августа 2017 г. 13:25:49(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Спасибо. С PKI понятно. Но тогда непонятны следующие детали.
Вот допустим я получаю тестовый сертификат от сервера по команде, написанной вами выше.
"Сертификат содержит открытый ключ и подпись УЦ" :
1) Где будет распологаться физически этот сертификат?
2) Как получить закрытый ключ
3) И что нужно делать мне с этим сертификатом? Его нужно экспортировать и отдать на клиент windows?
Клиенту тоже нужен какой-то закрытый ключ?

Нет ли пошаговой инструкции для чайников? С настройкой сервера и клиента и передачей тестового сообщения по stunnel?
Offline Дмитрий Пичулин  
#4 Оставлено : 31 августа 2017 г. 13:46:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Eugene_Moiseev1 Перейти к цитате
Спасибо. С PKI понятно. Но тогда непонятны следующие детали.
Вот допустим я получаю тестовый сертификат от сервера по команде, написанной вами выше.
"Сертификат содержит открытый ключ и подпись УЦ" :
1) Где будет распологаться физически этот сертификат?
2) Как получить закрытый ключ
3) И что нужно делать мне с этим сертификатом? Его нужно экспортировать и отдать на клиент windows?
Клиенту тоже нужен какой-то закрытый ключ?

Нет ли пошаговой инструкции для чайников? С настройкой сервера и клиента и передачей тестового сообщения по stunnel?

О такой инструкции нам не известно.

На данном форуме по умолчанию предполагается, что участник владеет базовыми знаниями по соответствующей тематике, поэтому здесь вы не получите ответы на поставленные вопросы, их придётся найти самостоятельно, например прочитав документацию.
Знания в базе знаний, поддержка в техподдержке
Offline Eugene_Moiseev1  
#5 Оставлено : 31 августа 2017 г. 14:55:03(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Я смог поставить сертификат и даже его экспортировать, только вот осталось неясно что это за пункт

" Устанавливаю под root корневой сертификат УЦ забрав по ссылке http://www.cryptopro.ru/certsrv/certcarc.asp
Код:
/opt/cprocsp/bin/ia32/certmgr -inst -store Root -file ~/cprocsp/stunnel/root-gost.cer "

нашел этот пример на форуме по ссылке https://www.cryptopro.ru....aspx?g=posts&t=2839

Одного сертификата server.example.com недостаточно?

Отредактировано пользователем 31 августа 2017 г. 17:09:32(UTC)  | Причина: Не указана

Offline Eugene_Moiseev1  
#6 Оставлено : 31 августа 2017 г. 17:33:07(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Как проверить что сервер работает??

в логах только это и процесс есть, можно ли тестовое сообщение прогнать? Как это сделать?
2017.08.31 14:43:19 LOG5[33934:139998707726144]: stunnel 4.18 on x86_64-unknown-linux-gnu
2017.08.31 14:43:19 LOG5[33934:139998707726144]: Threading:PTHREAD Sockets:POLL,IPv4 Auth:LIBWRAP
2017.08.31 14:43:19 LOG6[33934:139998707726144]: file ulimit = 1048576 (can be changed with 'ulimit -n')
2017.08.31 14:43:19 LOG6[33934:139998707726144]: poll() used - no FD_SETSIZE limit for file descriptors
2017.08.31 14:43:19 LOG5[33934:139998707726144]: 0 clients allowed
2017.08.31 14:43:19 LOG7[33934:139998707726144]: FD 5 in non-blocking mode
2017.08.31 14:43:19 LOG7[33934:139998707726144]: FD 6 in non-blocking mode
2017.08.31 14:43:19 LOG7[33934:139998707726144]: FD 7 in non-blocking mode
2017.08.31 14:43:19 LOG7[33934:139998707726144]: SO_REUSEADDR option set on accept socket
2017.08.31 14:43:19 LOG7[33934:139998707726144]: server bound to 0.0.0.0:443
2017.08.31 14:43:19 LOG7[33935:139998707726144]: Created pid file /etc/stunnel/server.pid
2017.08.31 14:43:19 LOG7[33935:139998707726144]: open file /etc/stunnel/server.example.cer with certificate
2017.08.31 14:43:19 LOG5[33935:139998707726144]: CertFindCertificateInStore not find certificate in LOCAL_MACHINE store. Looking at CURRENT_USER
2017.08.31 14:43:19 LOG7[33935:139998707726144]: CreateServCreadentials finish

Отредактировано пользователем 31 августа 2017 г. 17:50:32(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.