logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline k.biryukov  
#1 Оставлено : 28 августа 2018 г. 11:49:47(UTC)
k.biryukov

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2017(UTC)
Сообщений: 10
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 4 раз
Добрый день!

Скачал свежий stunnel-msspi.
На тестовом УЦ выпустил серверный сертификат. Сохранился он в pfx.
На windows 2012 установил CryptoPro CSP 4.0.9944

В конфиге создал секцию:
client = no
sslVersion = ALL
accept = server:443
connect = server:80
cert = C:\App\ssl\server.pfx

И при запуске stunnel говорит следующее:
2018.08.28 10:27:01 LOG6[main]: Loading certificate and private key from file: C:\App\ssl\server.pfx
2018.08.28 10:27:05 LOG3[main]: error queue: 23076072: error:23076072:PKCS12 routines:PKCS12_parse:parse error
2018.08.28 10:27:05 LOG3[main]: error queue: 2306A075: error:2306A075:PKCS12 routines:PKCS12_item_decrypt_d2i:pkcs12 pbe crypt error
2018.08.28 10:27:05 LOG3[main]: error queue: 23077073: error:23077073:PKCS12 routines:PKCS12_pbe_crypt:pkcs12 algor cipherinit error
2018.08.28 10:27:05 LOG3[main]: PKCS12_parse: 6074079: error:06074079:digital envelope routines:EVP_PBE_CipherInit:unknown pbe algorithm
2018.08.28 10:27:05 LOG3[main]: Service [SERVER]: Failed to initialize TLS context
2018.08.28 10:27:05 LOG3[main]: Failed to reload the configuration file

И вот тут вопрос: контейнер не поддерживается? А как тогда его?
Offline Дмитрий Пичулин  
#2 Оставлено : 28 августа 2018 г. 12:15:35(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 122 раз в 105 постах
Автор: k.biryukov Перейти к цитате
...

cert = C:\App\ssl\server.pfx

...

И вот тут вопрос: контейнер не поддерживается? А как тогда его?

Импортируйте PFX в систему двойным кликом, должен установиться сертификат и закрытый ключ.

Далее пользуйтесь по инструкции.

Например, по имени, если CN=server, то "cert = server".

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
k.biryukov оставлено 31.08.2018(UTC)
Offline k.biryukov  
#3 Оставлено : 28 августа 2018 г. 12:58:00(UTC)
k.biryukov

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2017(UTC)
Сообщений: 10
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 4 раз
Дмитрий, спасибо за рекомендацию!

То есть, работать с файлом никак? Видимо, упустил этот момент.
Можете меня в документацию ткнуть? Найти не могу. Или это инструкция на форуме?
Offline Андрей Писарев  
#4 Оставлено : 28 августа 2018 г. 13:01:33(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,243
Мужчина
Российская Федерация

Сказал «Спасибо»: 279 раз
Поблагодарили: 1151 раз в 912 постах
https://www.cryptopro.ru...guidestunnel_windows.pdf
Цитата:

cert=C:\stun-srv\srvcer.cer
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей Писарев за этот пост.
k.biryukov оставлено 31.08.2018(UTC)
Offline Андрей Писарев  
#5 Оставлено : 28 августа 2018 г. 13:02:10(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,243
Мужчина
Российская Федерация

Сказал «Спасибо»: 279 раз
Поблагодарили: 1151 раз в 912 постах
Главная > Продукты > Дополнительное ПО > КриптоПро Stunnel
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Андрей Писарев за этот пост.
k.biryukov оставлено 31.08.2018(UTC)
Offline k.biryukov  
#6 Оставлено : 28 августа 2018 г. 13:03:31(UTC)
k.biryukov

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2017(UTC)
Сообщений: 10
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 4 раз
Андрей, спасибо за доку!

Offline Андрей Писарев  
#7 Оставлено : 28 августа 2018 г. 13:03:50(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,243
Мужчина
Российская Федерация

Сказал «Спасибо»: 279 раз
Поблагодарили: 1151 раз в 912 постах
Service-mode options.
....
cert
Цитата:
Сертификат в der кодировке.
Соответствующий сертификат в хранилище должен иметь ссылку на закрытый ключ .

Техническую поддержку оказываем тут
Наша база знаний
Offline k.biryukov  
#8 Оставлено : 28 августа 2018 г. 13:28:37(UTC)
k.biryukov

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2017(UTC)
Сообщений: 10
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 4 раз
Дмитрий, Андрей, спасибо за помощь!

Все с пол-пинка "завелось".
Offline k.biryukov  
#9 Оставлено : 30 августа 2018 г. 10:06:33(UTC)
k.biryukov

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2017(UTC)
Сообщений: 10
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 4 раз
Коллеги,
а вот еще два вопроса по использованию stunnel как сервиса Windows:
1. Допустимо ли отойти от документации и использовать собственный путь для файла конфигурации? (На вопрос "зачем" два аргумента: а) удобно хранить конфиг в специальном месте, б) в ряде случаев мне удобно вместо нескольких секций в конфиге поднять несколько сервисов со своими конфигами).
2. Службу идеологически правильно от какого пользователя запускать? Оставить системный аккаунт или отдельного завести? А если системный аккаунт, то в какое хранилище сертификаты складыывать? Локальный компьютер?
Offline Дмитрий Пичулин  
#10 Оставлено : 30 августа 2018 г. 12:42:08(UTC)
Дмитрий Пичулин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 825
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 20 раз
Поблагодарили: 122 раз в 105 постах
Автор: k.biryukov Перейти к цитате
Коллеги,
а вот еще два вопроса по использованию stunnel как сервиса Windows:
1. Допустимо ли отойти от документации и использовать собственный путь для файла конфигурации? (На вопрос "зачем" два аргумента: а) удобно хранить конфиг в специальном месте, б) в ряде случаев мне удобно вместо нескольких секций в конфиге поднять несколько сервисов со своими конфигами).
2. Службу идеологически правильно от какого пользователя запускать? Оставить системный аккаунт или отдельного завести? А если системный аккаунт, то в какое хранилище сертификаты складыывать? Локальный компьютер?

1. Разве в документации есть специальные требования по расположению конфигурации? Или какие-то ограничения на количество запущенных сервисов?
2. Если аккаунт системный, то хранилище "Локальный компьютер", да. Если не устраивает типичный запуск от системы, можете администрировать как вам удобнее.

Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил Дмитрий Пичулин за этот пост.
k.biryukov оставлено 31.08.2018(UTC)
Offline k.biryukov  
#11 Оставлено : 31 августа 2018 г. 9:58:03(UTC)
k.biryukov

Статус: Участник

Группы: Участники
Зарегистрирован: 15.02.2017(UTC)
Сообщений: 10
Российская Федерация
Откуда: СПБ

Сказал(а) «Спасибо»: 4 раз
Дмитрий,

1. Я трактовал п. 2.5. документа https://www.cryptopro.ru...guidestunnel_windows.pdf как требование. Опять же, исполнение п.1 не позволит запустить несколько сервисов. Смутило название документа "Правила использования...". Если это не требования, а рекомендации/how-to, то жизнь моя становится существенно легче:)

Спасибо Вам за помощь!
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.