Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
В инструкции к интеграции с ГИС ЖКХ сказано "Передача информации осуществляется по защищенным телекоммуникационным каналам связи по протоколу HTTP(S) версии 1.1. При этом используется криптографический протокол TLS версии 1.0 (требуется двухсторонняя аутентификация) в соответствии с российскими криптографическими алгоритмами ГОСТ." Вопрос. Можно ли средствами КриптоПро организовать криптотуннель до данного сайта (вернее, до веб-сервисов, который он предоставляет)? Если да, то как?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз Поблагодарили: 706 раз в 614 постах
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
Что делать, если сервер требует ещё и обычной аутентификации, т.е. запрашивает некие имя и пароль? Например, тестовый сервер ГИС ЖКХ. Влияет ли на успешность соединения наличие прокси, и если да, то в каком месте конфига stunnel его прописывать? Пока что служба поднимается, но при попытка отправить данные посредством SoupUI (аутентификация прописана), даёт только Цитата:Mon Nov 07 13:26:11 MSK 2016:INFO:Error getting response for [RegOrgBinding.exportOrgRegistry:MyNoSignReq]; org.apache.http.NoHttpResponseException: The target server failed to respond
В логах stunnel: Цитата:2016.11.07 12:24:43 LOG5[3576:968]: stunnel 4.18 on x86-pc-unknown 2016.11.07 12:24:43 LOG5[3576:968]: Threading:WIN32 Sockets:SELECT,IPv6 2016.11.07 12:24:43 LOG5[3576:968]: No limit detected for the number of clients 2016.11.07 12:24:43 LOG7[3576:968]: FD 332 in non-blocking mode 2016.11.07 12:24:43 LOG7[3576:968]: SO_REUSEADDR option set on accept socket 2016.11.07 12:24:43 LOG7[3576:968]: https bound to 127.0.0.1:8080 2016.11.07 12:26:01 LOG7[3576:968]: https accepted FD=340 from 127.0.0.1:51056 2016.11.07 12:26:01 LOG7[3576:968]: Creating a new thread 2016.11.07 12:26:01 LOG7[3576:968]: New thread created 2016.11.07 12:26:01 LOG7[3576:1340]: client start 2016.11.07 12:26:01 LOG7[3576:1340]: https started 2016.11.07 12:26:01 LOG7[3576:1340]: FD 340 in non-blocking mode 2016.11.07 12:26:01 LOG7[3576:1340]: TCP_NODELAY option set on local socket 2016.11.07 12:26:01 LOG5[3576:1340]: https connected from 127.0.0.1:51056 2016.11.07 12:26:01 LOG7[3576:1340]: FD 400 in non-blocking mode 2016.11.07 12:26:01 LOG7[3576:1340]: https connecting 2016.11.07 12:26:01 LOG7[3576:1340]: connect_wait: waiting 10 seconds 2016.11.07 12:26:11 LOG6[3576:1340]: connect_wait: s_poll_wait timeout 2016.11.07 12:26:11 LOG5[3576:1340]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2016.11.07 12:26:11 LOG7[3576:1340]: free Buffers 2016.11.07 12:26:11 LOG7[3576:1340]: delete c->hContext 2016.11.07 12:26:11 LOG7[3576:1340]: delete c->hClientCreds 2016.11.07 12:26:11 LOG5[3576:1340]: incomp_mess = 0, extra_data = 0 2016.11.07 12:26:11 LOG7[3576:1340]: https finished (0 left) stunnel.conf Цитата:output=C:\Work\Cryptopro\stunnel.log socket = l:TCP_NODELAY=1 socket = r:TCP_NODELAY=1 debug = 7
[https] client = yes accept=127.0.0.1:8080 connect = 217.107.108.156:10081 cert=C:\Work\Cryptopro\GGG_DER.cer verify=2 КриптоПро 4.0.9907 Win 8 Отредактировано пользователем 7 ноября 2016 г. 15:50:13(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324 Сказал «Спасибо»: 4 раз Поблагодарили: 54 раз в 54 постах
|
Добрый день, MasterShi Полагаю, в конфигфайле Вы нигде такое указать не сможете, т.к. к работе stunnel это отношения не имеет. Если зайти на указанный Вами адрес https://217.107.108.156:10081/ просто через ie с сертификатом от https://www.cryptopro.ru/certsrv/после ввода пина на контейнер последует 111.JPG (43kb) загружен 307 раз(а).
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
Автор: ГОСТface_killah Добрый день, MasterShi Полагаю, в конфигфайле Вы нигде такое указать не сможете, т.к. к работе stunnel это отношения не имеет. Если зайти на указанный Вами адрес https://217.107.108.156:10081/ просто через ie с сертификатом от https://www.cryptopro.ru/certsrv/после ввода пина на контейнер последует 111.JPG (43kb) загружен 307 раз(а). А что, реальные сертификаты не подойдут? Проблема в том, что тоннель не поднимается. Т.е. последовательность действий, описанных в этом рецепте, выполнена, но SoapUI не соединяется с тестовым сервером ГИС ЖКХ. Пин на ключе стоит, но он сохранён, и в других применениях ключа пин не запрашивается. К сведению. Предлагаемый в официальной документации путь установки тоннеля (весьма, к слову, похожий на вышеупомянутый рецепт), вполне себе работает. Насколько я понял, проблема авторизации отсутствует, тогда почему не происходит соединения? И ещё вопрос. Что означает Цитата:Для Windows при установке КриптоПро CSP появляется нативная поддержка ГОСТ-TLS в системе. ?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
И, ещё. А где в stunnel настраивается прокси?
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
Я так понимаю, сотрудники Криптопро "сдулись"... Сиречь, пробросить TSL-туннель, если выход в инет идёт через прокси, невозможно в принципе. Если это так, то так и напишите. Пойду к конкурентам :)
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324 Сказал «Спасибо»: 4 раз Поблагодарили: 54 раз в 54 постах
|
Добрый день, MasterShi
"А что, реальные сертификаты не подойдут?" Используется сертификат, содержащий реальные ИНН и ОГРН/ОГРНИП (указанными в заявке на подключение), созданный на нашем тестовом УЦ?
Без реальных данных разобраться проблематично - операторами мы не являемся. Предоставьте пожалуйста данный контейнер и сертификат (в личку к примеру) и мы попытаемся воспроизвести Вашу ситуацию.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
Автор: ГОСТface_killah Добрый день, MasterShi
"А что, реальные сертификаты не подойдут?" Используется сертификат, содержащий реальные ИНН и ОГРН/ОГРНИП (указанными в заявке на подключение), созданный на нашем тестовом УЦ? Да нет. Реальный сертификат и ключ, созданный на реальном вашем УЦ. Создать тестовый сертификат на работе на получается в силу ограничений службы безопасности, а дома у меня КриптоПро нет :). Автор: ГОСТface_killah Без реальных данных разобраться проблематично - операторами мы не являемся. Предоставьте пожалуйста данный контейнер и сертификат (в личку к примеру) и мы попытаемся воспроизвести Вашу ситуацию.
Моя ситуация проста, как табуретка. Есть тестовая база, есть ключ и сертификат, зарегистрированный в тестовой базе. Есть SoapUI, с помощью которого идёт изучение интеграции с ГИС ЖКХ. Доказана "теорема существования", т.е. с посредством демо-версии Магпро, упомянутой в документации ГИС ЖКХ, поднимался криптотоннель и обмен данными шёл. Т.е. с сертификатами и ключами всё в порядке. Как я уже упоминал, "рецепт" Магпро почти один-в-один совпадает с рецептом Криптопро. За исключением одного: в Магпро есть (и прямо предусмотрено документацией и возможностями) работа с прокси (просто указываю настройки моего прокси и обмен идёт). Я сильно сомневаюсь, что подобное нельзя сделать средствами Криптопро, но документация по stunnel не просто бедна, а совсем никакая. И, как я уже указал, в ней (документации) отсутствует хоть какой-то намёк на работу через прокси. Так что мои ключ и сертификат вам без надобности (подойдёт любая пара) для воспроизведения моей ситуации.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324 Сказал «Спасибо»: 4 раз Поблагодарили: 54 раз в 54 постах
|
Добрый день, MasterShi
"отсутствует хоть какой-то намёк на работу через прокси." к сожалению, на данный момент так и есть. Сама утилита сейчас перерабатывается и функционал, в котором Вы нуждаетесь, будет также реализован. Предварительная версия ориентировочно будет доступна для всех заинтересованных лиц до конца месяца.
Также хотелось бы упомянуть, что специалисты ГИС ЖКХ сейчас проводят тестирование нашего ПО на предмет включения его в перечень официально ими поддерживаемого.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close