Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12 
|
В инструкции к интеграции с ГИС ЖКХ сказано "Передача информации осуществляется по защищенным телекоммуникационным каналам связи по протоколу HTTP(S) версии 1.1. При этом используется криптографический протокол TLS версии 1.0 (требуется двухсторонняя аутентификация) в соответствии с российскими криптографическими алгоритмами ГОСТ."
Вопрос. Можно ли средствами КриптоПро организовать криптотуннель до данного сайта (вернее, до веб-сервисов, который он предоставляет)? Если да, то как?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,377  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 32 раз
Поблагодарили: 706 раз в 614 постах
|
|
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
Что делать, если сервер требует ещё и обычной аутентификации, т.е. запрашивает некие имя и пароль? Например, тестовый сервер ГИС ЖКХ. Влияет ли на успешность соединения наличие прокси, и если да, то в каком месте конфига stunnel его прописывать? Пока что служба поднимается, но при попытка отправить данные посредством SoupUI (аутентификация прописана), даёт только Цитата:Mon Nov 07 13:26:11 MSK 2016:INFO:Error getting response for [RegOrgBinding.exportOrgRegistry:MyNoSignReq]; org.apache.http.NoHttpResponseException: The target server failed to respond
В логах stunnel: Цитата:2016.11.07 12:24:43 LOG5[3576:968]: stunnel 4.18 on x86-pc-unknown
2016.11.07 12:24:43 LOG5[3576:968]: Threading:WIN32 Sockets:SELECT,IPv6
2016.11.07 12:24:43 LOG5[3576:968]: No limit detected for the number of clients
2016.11.07 12:24:43 LOG7[3576:968]: FD 332 in non-blocking mode
2016.11.07 12:24:43 LOG7[3576:968]: SO_REUSEADDR option set on accept socket
2016.11.07 12:24:43 LOG7[3576:968]: https bound to 127.0.0.1:8080
2016.11.07 12:26:01 LOG7[3576:968]: https accepted FD=340 from 127.0.0.1:51056
2016.11.07 12:26:01 LOG7[3576:968]: Creating a new thread
2016.11.07 12:26:01 LOG7[3576:968]: New thread created
2016.11.07 12:26:01 LOG7[3576:1340]: client start
2016.11.07 12:26:01 LOG7[3576:1340]: https started
2016.11.07 12:26:01 LOG7[3576:1340]: FD 340 in non-blocking mode
2016.11.07 12:26:01 LOG7[3576:1340]: TCP_NODELAY option set on local socket
2016.11.07 12:26:01 LOG5[3576:1340]: https connected from 127.0.0.1:51056
2016.11.07 12:26:01 LOG7[3576:1340]: FD 400 in non-blocking mode
2016.11.07 12:26:01 LOG7[3576:1340]: https connecting
2016.11.07 12:26:01 LOG7[3576:1340]: connect_wait: waiting 10 seconds
2016.11.07 12:26:11 LOG6[3576:1340]: connect_wait: s_poll_wait timeout
2016.11.07 12:26:11 LOG5[3576:1340]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2016.11.07 12:26:11 LOG7[3576:1340]: free Buffers
2016.11.07 12:26:11 LOG7[3576:1340]: delete c->hContext
2016.11.07 12:26:11 LOG7[3576:1340]: delete c->hClientCreds
2016.11.07 12:26:11 LOG5[3576:1340]: incomp_mess = 0, extra_data = 0
2016.11.07 12:26:11 LOG7[3576:1340]: https finished (0 left) stunnel.conf Цитата:output=C:\Work\Cryptopro\stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[https]
client = yes
accept=127.0.0.1:8080
connect = 217.107.108.156:10081
cert=C:\Work\Cryptopro\GGG_DER.cer
verify=2 КриптоПро 4.0.9907 Win 8 Отредактировано пользователем 7 ноября 2016 г. 15:50:13(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324 Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
|
Добрый день, MasterShi Полагаю, в конфигфайле Вы нигде такое указать не сможете, т.к. к работе stunnel это отношения не имеет. Если зайти на указанный Вами адрес https://217.107.108.156:10081/ просто через ie с сертификатом от https://www.cryptopro.ru/certsrv/после ввода пина на контейнер последует  111.JPG (43kb) загружен 307 раз(а).
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
Автор: ГОСТface_killah  Добрый день, MasterShi Полагаю, в конфигфайле Вы нигде такое указать не сможете, т.к. к работе stunnel это отношения не имеет. Если зайти на указанный Вами адрес https://217.107.108.156:10081/ просто через ie с сертификатом от https://www.cryptopro.ru/certsrv/после ввода пина на контейнер последует 111.JPG (43kb) загружен 307 раз(а). А что, реальные сертификаты не подойдут? Проблема в том, что тоннель не поднимается. Т.е. последовательность действий, описанных в этом рецепте, выполнена, но SoapUI не соединяется с тестовым сервером ГИС ЖКХ. Пин на ключе стоит, но он сохранён, и в других применениях ключа пин не запрашивается. К сведению. Предлагаемый в официальной документации путь установки тоннеля (весьма, к слову, похожий на вышеупомянутый рецепт), вполне себе работает. Насколько я понял, проблема авторизации отсутствует, тогда почему не происходит соединения? И ещё вопрос. Что означает Цитата:Для Windows при установке КриптоПро CSP появляется нативная поддержка ГОСТ-TLS в системе. ?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
И, ещё. А где в stunnel настраивается прокси?
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
Я так понимаю, сотрудники Криптопро "сдулись"... Сиречь, пробросить TSL-туннель, если выход в инет идёт через прокси, невозможно в принципе. Если это так, то так и напишите. Пойду к конкурентам :)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324 Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
|
Добрый день, MasterShi
"А что, реальные сертификаты не подойдут?"
Используется сертификат, содержащий реальные ИНН и ОГРН/ОГРНИП (указанными в заявке на подключение), созданный на нашем тестовом УЦ?
Без реальных данных разобраться проблематично - операторами мы не являемся.
Предоставьте пожалуйста данный контейнер и сертификат (в личку к примеру) и мы попытаемся воспроизвести Вашу ситуацию.
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 19.10.2016(UTC) Сообщений: 12
|
Автор: ГОСТface_killah Добрый день, MasterShi
"А что, реальные сертификаты не подойдут?"
Используется сертификат, содержащий реальные ИНН и ОГРН/ОГРНИП (указанными в заявке на подключение), созданный на нашем тестовом УЦ? Да нет. Реальный сертификат и ключ, созданный на реальном вашем УЦ. Создать тестовый сертификат на работе на получается в силу ограничений службы безопасности, а дома у меня КриптоПро нет :). Автор: ГОСТface_killah
Без реальных данных разобраться проблематично - операторами мы не являемся.
Предоставьте пожалуйста данный контейнер и сертификат (в личку к примеру) и мы попытаемся воспроизвести Вашу ситуацию.
Моя ситуация проста, как табуретка. Есть тестовая база, есть ключ и сертификат, зарегистрированный в тестовой базе. Есть SoapUI, с помощью которого идёт изучение интеграции с ГИС ЖКХ. Доказана "теорема существования", т.е. с посредством демо-версии Магпро, упомянутой в документации ГИС ЖКХ, поднимался криптотоннель и обмен данными шёл. Т.е. с сертификатами и ключами всё в порядке. Как я уже упоминал, "рецепт" Магпро почти один-в-один совпадает с рецептом Криптопро. За исключением одного: в Магпро есть (и прямо предусмотрено документацией и возможностями) работа с прокси (просто указываю настройки моего прокси и обмен идёт). Я сильно сомневаюсь, что подобное нельзя сделать средствами Криптопро, но документация по stunnel не просто бедна, а совсем никакая. И, как я уже указал, в ней (документации) отсутствует хоть какой-то намёк на работу через прокси. Так что мои ключ и сертификат вам без надобности (подойдёт любая пара) для воспроизведения моей ситуации.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324 Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
|
Добрый день, MasterShi
"отсутствует хоть какой-то намёк на работу через прокси." к сожалению, на данный момент так и есть.
Сама утилита сейчас перерабатывается и функционал, в котором Вы нуждаетесь, будет также реализован.
Предварительная версия ориентировочно будет доступна для всех заинтересованных лиц до конца месяца.
Также хотелось бы упомянуть, что специалисты ГИС ЖКХ сейчас проводят тестирование нашего ПО на предмет включения его
в перечень официально ими поддерживаемого.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
