Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline alchemy232  
#1 Оставлено : 31 января 2019 г. 10:44:12(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

исходные данные:
ОС:
root@tunnel:/home/sysadmin# uname -a
Linux tunnel 4.15.0-44-generic #47-Ubuntu SMP Mon Jan 14 11:26:59 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
установленные пакеты:

Пытаемся организовать тунель до api.dom.gosuslugi.ru
Пользуем stunnel-msspi 5.50 отсюда stunnel-msspi
ниже конфиг cat /etc/stunnel.conf

вырезал только ошибки tail -f /var/log/syslog

Что мы делаем не так ?
Offline Дмитрий Пичулин  
#2 Оставлено : 31 января 2019 г. 11:30:51(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 411 раз в 306 постах
Автор: alchemy232 Перейти к цитате


Что мы делаем не так ?

При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок.

Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#3 Оставлено : 31 января 2019 г. 11:56:24(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

Автор: Дмитрий Пичулин Перейти к цитате

При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок.

Выполняю от того же пользователя, что и запускаем stunnel-msspi, то есть от root

csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello
ниже результат
Offline Дмитрий Пичулин  
#4 Оставлено : 31 января 2019 г. 14:26:00(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 411 раз в 306 постах
Автор: alchemy232 Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок.

Выполняю от того же пользователя, что и запускаем stunnel-msspi, то есть от root

csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello
ниже результат

Начните с простого конфига и двигайтесь к сложному:

Код:
output = /var/log/stunnel.log
debug = debug

[pseudo-https]
msspi = yes
client = yes
cert = b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a
pin = 1
accept = 192.168.10.190:8080
connect = api.dom.gosuslugi.ru:443

Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#5 Оставлено : 31 января 2019 г. 14:32:35(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

Автор: Дмитрий Пичулин Перейти к цитате

Начните с простого конфига и двигайтесь к сложному:

Начиная с этого простого конфига уже сыпятся ошибки, к сожалению.


Offline Дмитрий Пичулин  
#6 Оставлено : 31 января 2019 г. 15:05:01(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 411 раз в 306 постах
Автор: Дмитрий Пичулин Перейти к цитате
csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello

Ваша ошибка 0x8009001D говорит о серьёзных проблемах в провайдере, можно всё таки полноценное соединение установить:

Код:
csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a


Попробуйте переустановить CSP по инструкции, возможно нарушена целостность.

Если ничего не помогает, соберите диагностический архив и отправьте в ЛС:

Код:
curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl



Знания в базе знаний, поддержка в техподдержке
Offline alchemy232  
#7 Оставлено : 31 января 2019 г. 15:20:12(UTC)
alchemy232

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.01.2019(UTC)
Сообщений: 7
Российская Федерация
Откуда: Сыктывкар

csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a


Диагностический архив отправил в ЛС.

Пробовали разные версии и 4 и 5. В разных вариациях. В случае с 4ой версией CSP ошибка была менее информативна.
Offline KHotemov Dmitriy  
#8 Оставлено : 1 февраля 2019 г. 11:46:16(UTC)
KHotemov Dmitriy

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.02.2019(UTC)
Сообщений: 3
Российская Федерация
Откуда: Сыктывкар

Автор: alchemy232 Перейти к цитате
исходные данные:
ОС:
root@tunnel:/home/sysadmin# uname -a
Linux tunnel 4.15.0-44-generic #47-Ubuntu SMP Mon Jan 14 11:26:59 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
установленные пакеты:

Пытаемся организовать тунель до api.dom.gosuslugi.ru
Пользуем stunnel-msspi 5.50 отсюда stunnel-msspi
ниже конфиг cat /etc/stunnel.conf

вырезал только ошибки tail -f /var/log/syslog

Что мы делаем не так ?


Абсолютно та же проблема, перепробывали все варианты ! Из коробки не работает !
Offline Дмитрий Пичулин  
#9 Оставлено : 1 февраля 2019 г. 12:36:08(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 411 раз в 306 постах
Автор: KHotemov Dmitriy Перейти к цитате
Абсолютно та же проблема, перепробывали все варианты ! Из коробки не работает !

По вашему описанию всё должно работать, непонятная проблема.

Предлагается усилить журналирование:

Код:
/opt/cprocsp/sbin/amd64/cpconfig -loglevel cpcsp -mask 0xf
/opt/cprocsp/sbin/amd64/cpconfig -loglevel capi20 -mask 0xf


Воспроизвести проблему.

Прислать отладочный архив:

Код:
curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl


Знания в базе знаний, поддержка в техподдержке
Offline Дмитрий Пичулин  
#10 Оставлено : 1 февраля 2019 г. 15:39:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 411 раз в 306 постах
Итого: ошибка рассогласуется с описанием ошибки, есть подозрение что вы используете версию stunnel с форком, но мы такую версию с августа 2018 не выкладываем.

Поэтому просьба описать порядок действий по шагам на чистой системе приводящий к ошибке.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.