Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,537
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 501 раз в 355 постах
|
Автор: voot  Цитата:То есть, на одной машине с одной конфигурацией две разные версии исполняемого файла дают разный результат, 5.40 вариант работает, а 5.41 нет? Точнее некуда! Спасибо, воспроизвели и починили: https://github.com/deemr.../stunnel-5.43-msspi-0.43Ошибка была в том, что если не проверять сертификаты сервера, то они не кэшировались в сессии msspi, и в момент renegotiation, где мы принудительно сравниваем все параметры новой сессии и старой, сертификаты не совпадали, что запрещено и происходил принудительный shutdown. |
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 17.10.2014(UTC)
Сообщений: 18
Поблагодарили: 1 раз в 1 постах
|
Да вы правы, с опциями verify=3 и указанием хранилища, где лежит сертификат хоста (в моем случае это CApath=My), работают все указанные мной выше версии stunnel 5.41 и 5.43 без последнего фикса. Конфигурация stunnel.conf с проверкой сертификата хоста.
output=stun.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[https]
client=yes
accept=127.0.0.1:1500
connect=test.rb-ei.com:443
cert=8b 82 80 2f 90 a6 6e de 42 96 d2 06 c4 1d d3 cb ab e2 c3 2c
verify=3
CApath=My
Последняя версия stunnel-5.43-msspi-0.43 с фиксом "fixed msspi renegotiation" работает и с опцией verify=0 Спасибо, за помощь.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
