Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Eugene_Moiseev1  
#1 Оставлено : 4 сентября 2017 г. 10:29:09(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

При запросе через клиент stunnel к серверу stunnel,
на стороне сервера возникает ошибка

Код:
2017.09.04 07:14:52 LOG7[main]: Found 1 ready file descriptor(s)
2017.09.04 07:14:52 LOG7[main]: FD=5 events=0x2001 revents=0x0
2017.09.04 07:14:52 LOG7[main]: FD=7 events=0x2001 revents=0x1
2017.09.04 07:14:52 LOG7[main]: Service [server] accepted (FD=8) from 172.17.0.1:35518
2017.09.04 07:14:52 LOG7[main]: Found 1 ready file descriptor(s)
2017.09.04 07:14:52 LOG7[main]: FD=5 events=0x2001 revents=0x0
2017.09.04 07:14:52 LOG7[main]: FD=7 events=0x2001 revents=0x1
2017.09.04 07:14:52 LOG7[main]: Service [server] accepted (FD=9) from 172.17.0.1:35520
2017.09.04 07:14:52 LOG7[3]: Service [server] started
2017.09.04 07:14:52 LOG7[3]: Option TCP_NODELAY set on local socket
2017.09.04 07:14:52 LOG5[3]: Service [server] accepted connection from 172.17.0.1:35518
2017.09.04 07:14:52 LOG3[3]: msspi: msspi_set_mycert_options failed (cert = "server.example", pin = "msv")
2017.09.04 07:14:52 LOG7[4]: Service [server] started
2017.09.04 07:14:52 LOG7[4]: Option TCP_NODELAY set on local socket
2017.09.04 07:14:52 LOG5[4]: Service [server] accepted connection from 172.17.0.1:35520
2017.09.04 07:14:52 LOG5[3]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.04 07:14:52 LOG7[3]: Local descriptor (FD=8) closed
2017.09.04 07:14:52 LOG7[3]: Service [server] finished (1 left)


Настройки сервера

Код:
cert = server.example

pid = /etc/stunnel/server.pid

debug = 7
output = /etc/stunnel/stunnel-server.log

[server]
accept = 443
connect = 10.8.210.29:8080
pincode = msv
verify = 0


Настройки клиента

Код:
debug = 7
output = c:/Users/Eugene_Moiseev/Dev/app/stunnel/client.log

[client]
client = yes
accept = 127.0.0.1:8084
connect = 127.0.0.1:8085
verify = 0


Пробовал в настройках сервера указывать явно путь к экспортируемому файлу сертификата, но все равно та же ошибка.
Детальнее логов нет, и что делать тоже непонятно.
javascript:__doPostBack('forum$ctl03$PostReply','')
Тестовый сертификат получал запросом
Код:
/opt/cprocsp/bin/amd64/cryptcp -creatcert -rdn 'CN=server.example' -cont '\\.\HDIMAGE\server.example' -certusage 1.3.6.1.5.5.7.3.1  -ku -du -ex -ca http://cryptopro.ru/certsrv



Подскажите пожалуйста
Offline Дмитрий Пичулин  
#2 Оставлено : 4 сентября 2017 г. 10:49:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Eugene_Moiseev1 Перейти к цитате
на стороне сервера возникает ошибка

Настройки сервера

Код:
cert = server.example

pid = /etc/stunnel/server.pid

debug = 7
output = /etc/stunnel/stunnel-server.log

[server]
accept = 443
connect = 10.8.210.29:8080
pincode = msv
verify = 0

Как говорилось ранее, попробуйте упростить конфигурацию, не используя пин-коды на контейнеры (пустые пароли). В этом случае, указание pincode в конфигурации будет ошибкой.

Знания в базе знаний, поддержка в техподдержке
Offline Eugene_Moiseev1  
#3 Оставлено : 4 сентября 2017 г. 11:08:58(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Автор: pd Перейти к цитате
Автор: Eugene_Moiseev1 Перейти к цитате
на стороне сервера возникает ошибка

Настройки сервера

Код:
cert = server.example

pid = /etc/stunnel/server.pid

debug = 7
output = /etc/stunnel/stunnel-server.log

[server]
accept = 443
connect = 10.8.210.29:8080
pincode = msv
verify = 0

Как говорилось ранее, попробуйте упростить конфигурацию, не используя пин-коды на контейнеры (пустые пароли). В этом случае, указание pincode в конфигурации будет ошибкой.



хм, непонятно почему это должно мешать,
убрал пин из настроек, ошибка та же

Код:
2017.09.04 08:01:34 LOG7[1]: Option TCP_NODELAY set on local socket
2017.09.04 08:01:34 LOG5[1]: Service [server] accepted connection from 172.17.0.1:35536
2017.09.04 08:01:34 LOG3[1]: msspi: msspi_set_mycert_options failed (cert = "server.example", pin = "")
Offline Дмитрий Пичулин  
#4 Оставлено : 4 сентября 2017 г. 11:20:29(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Eugene_Moiseev1 Перейти к цитате
хм, непонятно почему это должно мешать,
убрал пин из настроек, ошибка та же

Если вы используете пустой пароль, но при этом указываете отличный от пустого пароля пин, то это разные пароли.

Как говорилось ранее, stunnel-msspi должен быть запущен от того пользователя, который создавал сертификаты.

Определить от какого пользователя работает stunnel-msspi можно командой: ps -aux | grep stunnel

Далее необходимо убедиться, что сертификаты видны для данного определённого пользователя: certmgr -list

Знания в базе знаний, поддержка в техподдержке
Offline Eugene_Moiseev1  
#5 Оставлено : 4 сентября 2017 г. 12:20:34(UTC)
Eugene_Moiseev1

Статус: Участник

Группы: Участники
Зарегистрирован: 31.08.2017(UTC)
Сообщений: 21
Российская Федерация
Откуда: Moscow

Автор: pd Перейти к цитате
Автор: Eugene_Moiseev1 Перейти к цитате
хм, непонятно почему это должно мешать,
убрал пин из настроек, ошибка та же

Если вы используете пустой пароль, но при этом указываете отличный от пустого пароля пин, то это разные пароли.

Как говорилось ранее, stunnel-msspi должен быть запущен от того пользователя, который создавал сертификаты.

Определить от какого пользователя работает stunnel-msspi можно командой: ps -aux | grep stunnel

Далее необходимо убедиться, что сертификаты видны для данного определённого пользователя: certmgr -list



Без пин кода заработало, спасибо.

А подскажите пожалуйста, какой OID у Гост 2012?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.