Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы<12
Stunnel под win
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline basid  
#11 Оставлено : 8 апреля 2016 г. 7:28:27(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,123

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 154 раз в 139 постах
У хоста есть два "универсальных адреса": 127.0.0.1 ("я сам") и 0.0.0.0 ("все мои интерфейсы").
Любые другие адреса, если они нужны, "смотрятся по месту", а не берутся с потолка или с других хостов.
Вверх
Offline aakosenkov  
#12 Оставлено : 8 апреля 2016 г. 12:35:37(UTC)
aakosenkov

Статус: Новичок

Группы: Участники
Зарегистрирован: 18.06.2015(UTC)
Сообщений: 3
Российская Федерация
Откуда: Тамбов
Автор: basid Перейти к цитате
У хоста есть два "универсальных адреса": 127.0.0.1 ("я сам") и 0.0.0.0 ("все мои интерфейсы").
Любые другие адреса, если они нужны, "смотрятся по месту", а не берутся с потолка или с других хостов.

100.8 адрес сервера. И писал его в процессе танцев с бубном.
Собственно говоря проблема с ошибкой 1067 процесс неожиданно завершён решена утилитой очистки крптопро и удалением всех сертификатов из всех хранилищ. Плюс установкой всех компонентов криптопро csp.
За помощь и сочувствие спасибо.

Но есть ещё вопрос:
Служба запустилась, но при обращении через експлорер на 127.0.0.1.1502 ничего не происходит.
Лог:
2016.04.08 12:15:44 LOG5[4224:1184]: https connected from 127.0.0.1:63499
2016.04.08 12:15:44 LOG7[4224:1184]: accept_handshake start
2016.04.08 12:15:44 LOG7[4224:1184]: SSPINegotiate start
2016.04.08 12:15:44 LOG7[4224:1184]: reading in SSPINeg err = 147
2016.04.08 12:15:44 LOG7[4224:1184]: Recieve 147 bytes from client on SSPINegotiateLoop
2016.04.08 12:15:46 LOG7[4224:1184]: AcceptSecurityContext finish, scRet = 590610
2016.04.08 12:15:46 LOG5[4224:1184]: Send 4662 handshake bytes to client
2016.04.08 12:15:46 LOG7[4224:1184]: reading in SSPINeg err = 210
2016.04.08 12:15:46 LOG7[4224:1184]: Recieve 210 bytes from client on SSPINegotiateLoop
2016.04.08 12:15:46 LOG7[4224:1184]: AcceptSecurityContext finish, scRet = 0
2016.04.08 12:15:46 LOG5[4224:1184]: Verify_level = 0, skipping client certificate verification
2016.04.08 12:15:46 LOG5[4224:1184]: Send 31 handshake bytes to client
2016.04.08 12:15:46 LOG5[4224:1184]: User validation finish ExLen = 0
2016.04.08 12:15:46 LOG7[4224:1184]: FD 512 in non-blocking mode
2016.04.08 12:15:46 LOG7[4224:1184]: https connecting
2016.04.08 12:15:46 LOG7[4224:1184]: connect_wait: waiting 10 seconds
2016.04.08 12:15:46 LOG7[4224:1184]: connect_wait: connected
2016.04.08 12:15:46 LOG7[4224:1184]: Remote FD=512 initialized
2016.04.08 12:15:46 LOG7[4224:1184]: TCP_NODELAY option set on remote socket
2016.04.08 12:15:46 LOG7[4224:1184]: add ssl read socket to pool
2016.04.08 12:15:46 LOG7[4224:1184]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.04.08 12:15:46 LOG7[4224:1184]: Enter pool section on transfer
2016.04.08 12:15:47 LOG7[4224:1184]: SSPI_read start
2016.04.08 12:15:47 LOG7[4224:1184]: recv ok on SSPI_read err= 0
2016.04.08 12:15:47 LOG3[4224:1184]: recv return 0 and ask more but there is not complete data for decrypt
2016.04.08 12:15:47 LOG5[4224:1184]: SSPI_read: read socket closed
2016.04.08 12:15:47 LOG7[4224:1184]: Socket write shutdown
2016.04.08 12:15:47 LOG7[4224:1184]: c->ssl_ptr = 0
2016.04.08 12:15:47 LOG7[4224:1184]: Enter pool section on transfer
2016.04.08 12:15:47 LOG7[4224:1184]: Socket closed on read
2016.04.08 12:15:47 LOG7[4224:1184]: SSL write shutdown
2016.04.08 12:15:47 LOG7[4224:1184]: Enter pool section on transfer
2016.04.08 12:15:47 LOG5[4224:1184]: 11 bytes of close_notify data sent
2016.04.08 12:15:47 LOG6[4224:1184]: SSL_shutdown successfully sent close_notify
2016.04.08 12:15:47 LOG5[4224:1184]: Connection closed: 0 bytes sent to SSL, 0 bytes sent to socket
2016.04.08 12:15:47 LOG7[4224:1184]: free Buffers
2016.04.08 12:15:47 LOG7[4224:1184]: delete c->hContext
2016.04.08 12:15:47 LOG5[4224:1184]: incomp_mess = 1, extra_data = 0
2016.04.08 12:15:47 LOG7[4224:1184]: https finished (0 left)
Вверх
Offline Zzzzybr  
#13 Оставлено : 21 мая 2016 г. 14:20:38(UTC)
Zzzzybr

Статус: Новичок

Группы: Участники
Зарегистрирован: 19.05.2016(UTC)
Сообщений: 1
Никак не получается настроить stunnel.
ОС Windows Server 2012 R2 Standard
CSP 3.9 КС1
stunnel win32 - так как win64 отказывается запускаться.

stunnel настраивал по инструкции https://www.cryptopro.ru/sites/d...guidestunnel_windows.pdf за исключением того что сертификаты я установил в хранилище текущего пользователя. stunnel так же запускается под текущем пользователем.
первоначально сертификат устанавливал как написано в инструкции в хранилище "локальный компьютер", но это не привело к ожидаемому результату.

Результат КриптоПРО CSP-Сервис-Протестировать-По сертификату
Код:

Проверка завершена успешно     	ошибок не обнаружено
Контейнер закрытого ключа      	
  имя                          	RaUser-4ee8b20e-22ff-416b-af55-2a83ea62918f - user
  уникальное имя               	REGISTRY\\RaUser-4ee8b20e-22ff-416b-af55-2a83ea62918f - user
  FQCN                         	\\.\REGISTRY\RaUser-4ee8b20e-22ff-416b-af55-2a83ea62918f - user
  проверка целостности контейнера 	успешно
Ключ обмена                    	доступен
  экспорт открытого ключа      	успешно
  импорт открытого ключа       	успешно
  подпись                      	успешно
  проверка                     	успешно
  создание ключа обмена        	успешно
  экспорт ключа                	разрешен
  алгоритм                     	ГОСТ Р 34.10-2001 DH
                               	ГОСТ Р 34.10-2001, параметры обмена по умолчанию
                               	ГОСТ Р 34.11-94, параметры по умолчанию
  сертификат в контейнере      	соответствует закрытому ключу
  сертификат в хранилище       	My
                               	  E=cs@bki-okb.ru, C=RU, L=Москва, O=ЗАО ОКБ, CN=Тестовый пользователь 2016, T=Тестовый пользователь
                               	      REGISTRY\\RaUser-4ee8b20e-22ff-416b-af55-2a83ea62918f - user; Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider#75; dwFlags: 0x00000000; dwKeySpec: 1
  имя сертификата              	Тестовый пользователь 2016
  субъект                      	E=cs@bki-okb.ru, C=RU, L=Москва, O=ЗАО ОКБ, CN=Тестовый пользователь 2016, T=Тестовый пользователь
  поставщик                    	E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
  действителен с               	11 апреля 2016 г. 13:53:00
  действителен по              	11 апреля 2021 г. 14:03:00
  ключ действителен с          	11 апреля 2016 г. 13:53:00
  ключ действителен по         	11 апреля 2017 г. 13:53:00
  серийный номер               	6971 0193 000E 0001 AB0D
Ключ подписи                   	отсутствует
  загрузка ключей              	успешно
Расширения контейнера          	
  некритическое                	Расширение контейнера КриптоПро CSP. Доверенные сертификаты обмена
  имя сертификата              	УЦ KPИПTO-ПPO
  субъект                      	E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
  поставщик                    	E=cpca@cryptopro.ru, C=RU, L=Москва, O=ООО КРИПТО-ПРО, CN=УЦ KPИПTO-ПPO
  действителен с               	9 сентября 2015 г. 19:01:35
  действителен по              	9 сентября 2030 г. 19:01:35
  серийный номер               	6A7C 8875 38F2 CD8B 4126 FF8E 40C3 DDBA


конфиг stunnel:
Код:

output = c:\stunnel\stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
client = yes
[ocb_test]
accept = localhost:5000
connect = test.rb-ei.com:443
cert = C:\stunnel\cert\test_ocb_2016.cer
verify = 2


лог:
Код:

2016.05.21 14:14:26 LOG5[224:2876]: stunnel 4.18 on x86-pc-unknown
2016.05.21 14:14:26 LOG5[224:2876]: Threading:WIN32 Sockets:SELECT,IPv6
2016.05.21 14:14:26 LOG5[224:2876]: No limit detected for the number of clients
2016.05.21 14:14:26 LOG7[224:2876]: FD 408 in non-blocking mode
2016.05.21 14:14:26 LOG7[224:2876]: SO_REUSEADDR option set on accept socket
2016.05.21 14:14:26 LOG7[224:2876]: ocb_test bound to ::1:5000
2016.05.21 14:14:26 LOG7[224:2876]: ocb_test accepted FD=412 from ::1:49282
2016.05.21 14:14:26 LOG7[224:2876]: Creating a new thread
2016.05.21 14:14:26 LOG7[224:2876]: New thread created
2016.05.21 14:14:26 LOG7[224:2568]: client start
2016.05.21 14:14:26 LOG7[224:2568]: ocb_test started
2016.05.21 14:14:26 LOG7[224:2568]: FD 412 in non-blocking mode
2016.05.21 14:14:26 LOG7[224:2568]: TCP_NODELAY option set on local socket
2016.05.21 14:14:26 LOG5[224:2568]: ocb_test connected from ::1:49282
2016.05.21 14:14:26 LOG7[224:2568]: FD 484 in non-blocking mode
2016.05.21 14:14:26 LOG7[224:2568]: ocb_test connecting 
2016.05.21 14:14:26 LOG7[224:2568]: connect_wait: waiting 10 seconds
2016.05.21 14:14:26 LOG7[224:2568]: connect_wait: connected
2016.05.21 14:14:26 LOG7[224:2568]: Remote FD=484 initialized
2016.05.21 14:14:26 LOG7[224:2568]: TCP_NODELAY option set on remote socket
2016.05.21 14:14:26 LOG7[224:2568]: start SSPI connect
2016.05.21 14:14:26 LOG5[224:2568]: try to read the client certificate
2016.05.21 14:14:26 LOG7[224:2568]: open file C:\stunnel\cert\test_ocb_2016.cer with certificate
2016.05.21 14:14:26 LOG3[224:2568]: Credentials complete
2016.05.21 14:14:26 LOG7[224:2568]: 130 bytes of handshake data sent
2016.05.21 14:14:26 LOG5[224:2568]: 1184 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:26 LOG5[224:2568]: 210 bytes of handshake data sent
2016.05.21 14:14:26 LOG5[224:2568]: 31 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:26 LOG5[224:2568]: Handshake was successful
2016.05.21 14:14:26 LOG5[224:2568]: PerformClientHandshake finish 
2016.05.21 14:14:26 LOG5[224:2568]: Server subject: E
2016.05.21 14:14:26 LOG5[224:2568]: Server issuer: E
2016.05.21 14:14:26 LOG5[224:2568]: Protocol: TLS1
2016.05.21 14:14:26 LOG5[224:2568]: Cipher: Gost 28147-89
2016.05.21 14:14:26 LOG5[224:2568]: Cipher strength: 256
2016.05.21 14:14:26 LOG5[224:2568]: Hash: Gost R 34.11-94
2016.05.21 14:14:26 LOG5[224:2568]: Hash strength: 256
2016.05.21 14:14:26 LOG5[224:2568]: Key exchange: 0xaa25
2016.05.21 14:14:26 LOG5[224:2568]: Key exchange strength: 512
2016.05.21 14:14:26 LOG7[224:2568]: Handshake_done
2016.05.21 14:14:26 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:26 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:26 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG7[224:2568]: data reciev from socket = 445
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=445,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG5[224:2568]: SSPI_write start
2016.05.21 14:14:29 LOG7[224:2568]: SSPI_write data  is GET 
2016.05.21 14:14:29 LOG7[224:2568]: send all data after encrypt
2016.05.21 14:14:29 LOG7[224:2568]: data send to ssl_socket =445
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG7[224:2568]: SSPI_read start
2016.05.21 14:14:29 LOG7[224:2568]: recv ok on SSPI_read err= 13
2016.05.21 14:14:29 LOG5[224:2568]: Received 13  bytes from ssl socket
2016.05.21 14:14:29 LOG5[224:2568]: Client request RENEGOTIATE
2016.05.21 14:14:29 LOG5[224:2568]: 115 bytes of handshake data sent
2016.05.21 14:14:29 LOG5[224:2568]: 1380 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:29 LOG5[224:2568]: 864 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:29 LOG5[224:2568]: 1341 bytes of handshake data sent
2016.05.21 14:14:29 LOG5[224:2568]: 35 bytes of handshake(in handshake loop) data received.
2016.05.21 14:14:29 LOG5[224:2568]: Handshake was successful
2016.05.21 14:14:29 LOG7[224:2568]: Zerro bytes read
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG7[224:2568]: SSPI_read start
2016.05.21 14:14:29 LOG7[224:2568]: recv ok on SSPI_read err= 1402
2016.05.21 14:14:29 LOG5[224:2568]: Received 1402  bytes from ssl socket
2016.05.21 14:14:29 LOG7[224:2568]: SSPI_read data in ssl_buff is HTTP
2016.05.21 14:14:29 LOG7[224:2568]: data read from ssl_sock =1393
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 1393,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: add write socket to poll
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer
2016.05.21 14:14:29 LOG7[224:2568]: data send to socket = 1393
2016.05.21 14:14:29 LOG7[224:2568]: add ssl read socket to pool
2016.05.21 14:14:29 LOG7[224:2568]: ssl_rd = 1, c->ssl_ptr = 0,c->sock_ptr=0,want_rd = 0
2016.05.21 14:14:29 LOG7[224:2568]: Enter pool section on transfer


В результате сервер возвращает ошибку 403 - Forbidden: Access is denied.
А через браузер IE по ссылке https://test.rb-ei.com начинает запрашивать сертификат, и после выбора его входит нормально.
Вверх
Offline Nikolay Batischev  
#14 Оставлено : 8 июня 2016 г. 16:20:47(UTC)
Николай Батищев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2013(UTC)
Сообщений: 75
Мужчина
Албания
Откуда: Тирана

Сказал «Спасибо»: 3 раз
Поблагодарили: 13 раз в 12 постах
Пришлите результаты
csptest.exe -tlsc -server test.rb-ei.com -port 443 -user(или -cert) "CN=Тестовый пользователь 2016" -verbose
Техническую поддержку оказываем тут
Общие консультации в телеграм
Наша база знаний
Вверх
Offline soulriwer  
#15 Оставлено : 2 апреля 2025 г. 11:27:01(UTC)
soulriwer

Статус: Новичок

Группы: Участники
Зарегистрирован: 02.04.2025(UTC)
Сообщений: 5
Добрый день!

Подскажите, пожалуйста, с чем может быть связана данная ошибка
Цитата:
2025.04.02 11:17:30 LOG5[79688:40508]: stunnel 4.18 on x86-pc-unknown
2025.04.02 11:17:30 LOG5[79688:40508]: Threading:WIN32 Sockets:SELECT,IPv6
2025.04.02 11:17:30 LOG5[79688:40508]: No limit detected for the number of clients
2025.04.02 11:17:30 LOG7[79688:40508]: FD 344 in non-blocking mode
2025.04.02 11:17:30 LOG7[79688:40508]: SO_REUSEADDR option set on accept socket
2025.04.02 11:17:30 LOG7[79688:40508]: https bound to 127.0.0.1:1555
2025.04.02 11:17:30 LOG7[79688:40508]: open file C:\stunnel\stunnel_client.cer with certificate
2025.04.02 11:17:30 LOG5[79688:40508]: CertFindCertificateInStore not find certificate in LOCAL_MACHINE store. Looking at CURRENT_USER
2025.04.02 11:17:32 LOG7[79688:40508]: CreateServCredentials finish
2025.04.02 11:17:37 LOG7[79688:40508]: https accepted FD=836 from 127.0.0.1:61487
2025.04.02 11:17:37 LOG7[79688:40508]: Creating a new thread
2025.04.02 11:17:37 LOG7[79688:40508]: New thread created
2025.04.02 11:17:37 LOG7[79688:60092]: client start
2025.04.02 11:17:37 LOG7[79688:60092]: https started
2025.04.02 11:17:37 LOG7[79688:60092]: FD 836 in non-blocking mode
2025.04.02 11:17:37 LOG7[79688:60092]: TCP_NODELAY option set on local socket
2025.04.02 11:17:37 LOG5[79688:60092]: https connected from 127.0.0.1:61487
2025.04.02 11:17:37 LOG7[79688:60092]: accept_handshake start
2025.04.02 11:17:37 LOG7[79688:60092]: SSPINegotiate start
2025.04.02 11:17:37 LOG7[79688:60092]: reading in SSPINeg recv return = 756, errno=0
2025.04.02 11:17:37 LOG7[79688:60092]: Recieve 756 bytes from client on SSPINegotiateLoop
2025.04.02 11:17:37 LOG7[79688:60092]: AcceptSecurityContext finish, scRet = -2146893048
2025.04.02 11:17:37 LOG3[79688:60092]: Accept Security Context Failed with error code 0x80090308
2025.04.02 11:17:37 LOG3[79688:60092]: Couldn't accept client( 127.0.0.1:61487 ). Handshake failed
2025.04.02 11:17:37 LOG5[79688:60092]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2025.04.02 11:17:37 LOG7[79688:60092]: free Buffers
2025.04.02 11:17:37 LOG5[79688:60092]: incomp_mess = 0, extra_data = 0
2025.04.02 11:17:37 LOG7[79688:60092]: https finished (0 left)

Служба успешно стартует, но подключиться через браузер к нужному ресурсу не могу

Отредактировано пользователем 2 апреля 2025 г. 11:29:18(UTC)  | Причина: Не указана
Вверх
Offline Андрей *  
#16 Оставлено : 2 апреля 2025 г. 12:27:28(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,664
Мужчина
Российская Федерация

Сказал «Спасибо»: 571 раз
Поблагодарили: 2297 раз в 1798 постах
Здравствуйте.

Есть поиск...
по коду 0x80090308 не искали значит?
В реестре что?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

Пробовали через csptest подключиться и проверить соединение\получить лог обмена?
Такая же ошибка?
Техническую поддержку оказываем тут
Наша база знаний
Вверх
WWW
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET