Статус: Новичок
Группы: Участники
Зарегистрирован: 31.01.2019(UTC) Сообщений: 7  Откуда: Сыктывкар
|
исходные данные: ОС: root@tunnel:/home/sysadmin# uname -a Linux tunnel 4.15.0-44-generic #47-Ubuntu SMP Mon Jan 14 11:26:59 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux установленные пакеты:
cprocsp-cpopenssl-110-64/now 5.0.11319-5 amd64 [установлен, локальный]
cprocsp-cpopenssl-110-base/now 5.0.11319-5 all [установлен, локальный]
cprocsp-cpopenssl-110-devel/now 5.0.11319-5 all [установлен, локальный]
cprocsp-cpopenssl-110-gost-64/now 5.0.11319-5 amd64 [установлен, локальный]
cprocsp-cpopenssl-64/now 5.0.11319-5 amd64 [установлен, локальный]
cprocsp-cpopenssl-base/now 5.0.11319-5 all [установлен, локальный]
cprocsp-cpopenssl-devel/now 5.0.11319-5 all [установлен, локальный]
cprocsp-cpopenssl-gost-64/now 5.0.11319-5 amd64 [установлен, локальный]
cprocsp-curl-64/now 5.0.11319-5 amd64 [установлен, локальный]
lsb-cprocsp-base/now 5.0.11319-5 all [установлен, локальный]
lsb-cprocsp-ca-certs/now 5.0.11319-5 all [установлен, локальный]
lsb-cprocsp-capilite-64/now 5.0.11319-5 amd64 [установлен, локальный]
lsb-cprocsp-kc1-64/now 5.0.11319-5 amd64 [установлен, локальный]
lsb-cprocsp-rdr-64/now 5.0.11319-5 amd64 [установлен, локальный]
Пытаемся организовать тунель до api.dom.gosuslugi.ru Пользуем stunnel-msspi 5.50 отсюда stunnel-msspiниже конфиг cat /etc/stunnel.conf
msspi = yes
client=yes
CAFile=/etc/crypto/CA-PPAK.pem
output=/var/log/stunnel.log
DEBUG=7
verify=3
Cert=b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a
pin=1
CApath=My
[pseudo-https]
accept = 192.168.10.190:8080
connect = api.dom.gosuslugi.ru:443
ciphers = GOST2001-GOST89-GOST89
вырезал только ошибки tail -f /var/log/syslog
Jan 31 07:19:54 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 07:19:54 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 07:19:54 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: LOG6[7]: msspi: try open cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a" as file
Jan 31 07:19:54 tunnel stunnel: LOG3[7]: msspi: set_mycert failed: "can not open file" (cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a")
Что мы делаем не так ?
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: alchemy232 
Jan 31 07:19:54 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 07:19:54 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 07:19:54 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: LOG6[7]: msspi: try open cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a" as file
Jan 31 07:19:54 tunnel stunnel: LOG3[7]: msspi: set_mycert failed: "can not open file" (cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a")
Что мы делаем не так ? При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.01.2019(UTC) Сообщений: 7 Откуда: Сыктывкар
|
Автор: Дмитрий Пичулин
При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок.
Выполняю от того же пользователя, что и запускаем stunnel-msspi, то есть от root csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello ниже результат
1 connections, 0 bytes in 0.147 seconds;
Total: SYS: 0,010 sec USR: 0,040 sec UTC: 0,200 sec
[ErrorCode: 0x00000000]
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: alchemy232 Автор: Дмитрий Пичулин
При ошибках убедитесь, что csptestf -tlsc работает от того же пользователя, что и stunnel без ошибок.
Выполняю от того же пользователя, что и запускаем stunnel-msspi, то есть от root csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello ниже результат
1 connections, 0 bytes in 0.147 seconds;
Total: SYS: 0,010 sec USR: 0,040 sec UTC: 0,200 sec
[ErrorCode: 0x00000000]
Начните с простого конфига и двигайтесь к сложному: Код:output = /var/log/stunnel.log
debug = debug
[pseudo-https]
msspi = yes
client = yes
cert = b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a
pin = 1
accept = 192.168.10.190:8080
connect = api.dom.gosuslugi.ru:443
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.01.2019(UTC) Сообщений: 7 Откуда: Сыктывкар
|
Автор: Дмитрий Пичулин
Начните с простого конфига и двигайтесь к сложному:
Начиная с этого простого конфига уже сыпятся ошибки, к сожалению.
Jan 31 11:28:47 tunnel stunnel: LOG7[main]: Found 1 ready file descriptor(s)
Jan 31 11:28:47 tunnel stunnel: LOG7[main]: FD=5 events=0x2001 revents=0x0
Jan 31 11:28:47 tunnel stunnel: LOG7[main]: FD=9 events=0x2001 revents=0x1
Jan 31 11:28:47 tunnel stunnel: LOG7[main]: Service [pseudo-https] accepted (FD=4) from 192.168.10.123:54938
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Service [pseudo-https] started
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Setting local socket options (FD=4)
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Option TCP_NODELAY set on local socket
Jan 31 11:28:47 tunnel stunnel: LOG5[4]: Service [pseudo-https] accepted connection from 192.168.10.123:54938
Jan 31 11:28:47 tunnel stunnel: LOG6[4]: s_connect: connecting 217.107.108.116:443
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: s_connect: s_poll_wait 217.107.108.116:443: waiting 10 seconds
Jan 31 11:28:47 tunnel stunnel: LOG7[main]: Found 1 ready file descriptor(s)
Jan 31 11:28:47 tunnel stunnel: LOG7[main]: FD=5 events=0x2001 revents=0x0
Jan 31 11:28:47 tunnel stunnel: LOG7[main]: FD=9 events=0x2001 revents=0x1
Jan 31 11:28:47 tunnel stunnel: LOG7[main]: Service [pseudo-https] accepted (FD=13) from 192.168.10.123:54940
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Service [pseudo-https] started
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Setting local socket options (FD=13)
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Option TCP_NODELAY set on local socket
Jan 31 11:28:47 tunnel stunnel: LOG5[5]: Service [pseudo-https] accepted connection from 192.168.10.123:54940
Jan 31 11:28:47 tunnel stunnel: LOG6[5]: s_connect: connecting 217.107.108.116:443
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: s_connect: s_poll_wait 217.107.108.116:443: waiting 10 seconds
Jan 31 11:28:47 tunnel stunnel: LOG5[4]: s_connect: connected 217.107.108.116:443
Jan 31 11:28:47 tunnel stunnel: LOG5[4]: Service [pseudo-https] connected remote server from 192.168.10.190:51466
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Setting remote socket options (FD=12)
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Option TCP_NODELAY set on remote socket
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Remote descriptor (FD=12) initialized
Jan 31 11:28:47 tunnel stunnel: LOG6[4]: SNI: sending servername: api.dom.gosuslugi.ru
Jan 31 11:28:47 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 11:28:47 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 11:28:47 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 11:28:47 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 11:28:47 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 11:28:47 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 11:28:47 tunnel stunnel: LOG6[4]: msspi: try open cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a" as file
Jan 31 11:28:47 tunnel stunnel: LOG3[4]: msspi: set_mycert failed: "can not open file" (cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a")
Jan 31 11:28:47 tunnel stunnel: LOG5[4]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Remote descriptor (FD=12) closed
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Local descriptor (FD=4) closed
Jan 31 11:28:47 tunnel stunnel: LOG7[4]: Service [pseudo-https] finished (1 left)
Jan 31 11:28:47 tunnel stunnel: LOG5[5]: s_connect: connected 217.107.108.116:443
Jan 31 11:28:47 tunnel stunnel: LOG5[5]: Service [pseudo-https] connected remote server from 192.168.10.190:51468
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Setting remote socket options (FD=14)
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Option TCP_NODELAY set on remote socket
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Remote descriptor (FD=14) initialized
Jan 31 11:28:47 tunnel stunnel: LOG6[5]: SNI: sending servername: api.dom.gosuslugi.ru
Jan 31 11:28:47 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 11:28:47 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 11:28:47 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 11:28:47 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 11:28:47 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 11:28:47 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 11:28:47 tunnel stunnel: LOG6[5]: msspi: try open cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a" as file
Jan 31 11:28:47 tunnel stunnel: LOG3[5]: msspi: set_mycert failed: "can not open file" (cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a")
Jan 31 11:28:47 tunnel stunnel: LOG5[5]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Remote descriptor (FD=14) closed
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Local descriptor (FD=13) closed
Jan 31 11:28:47 tunnel stunnel: LOG7[5]: Service [pseudo-https] finished (0 left)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: Дмитрий Пичулин csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a -proto 4 -nocheck -hello Ваша ошибка 0x8009001D говорит о серьёзных проблемах в провайдере, можно всё таки полноценное соединение установить: Код:csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a
Попробуйте переустановить CSP по инструкции, возможно нарушена целостность. Если ничего не помогает, соберите диагностический архив и отправьте в ЛС: Код:curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl
|
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 31.01.2019(UTC) Сообщений: 7 Откуда: Сыктывкар
|
csptestf -tlsc -server api.dom.gosuslugi.ru -cert b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a
HCrypto-Pro GOST R 34.10-2001 KC1 CSP requests password
Please, type password:
Error 0x800b010e (CERT_E_REVOCATION_FAILURE) returned by CertVerifyCertificateChainPolicy!
An error occurred in running the program.
/dailybuilds/CSPbuild/CSP/samples/csptest/WebClient.c:785:Error authenticating server credentials!
Error number 0x800b010e (2148204814).
Процесс отмены не может быть продолжен - проверка сертификатов недоступна.
Total: SYS: 0,060 sec USR: 0,210 sec UTC: 2,000 sec
[ErrorCode: 0x800b010e]
Диагностический архив отправил в ЛС. Пробовали разные версии и 4 и 5. В разных вариациях. В случае с 4ой версией CSP ошибка была менее информативна.
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.02.2019(UTC) Сообщений: 3 Откуда: Сыктывкар
|
Автор: alchemy232 исходные данные: ОС: root@tunnel:/home/sysadmin# uname -a Linux tunnel 4.15.0-44-generic #47-Ubuntu SMP Mon Jan 14 11:26:59 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux установленные пакеты:
cprocsp-cpopenssl-110-64/now 5.0.11319-5 amd64 [установлен, локальный]
cprocsp-cpopenssl-110-base/now 5.0.11319-5 all [установлен, локальный]
cprocsp-cpopenssl-110-devel/now 5.0.11319-5 all [установлен, локальный]
cprocsp-cpopenssl-110-gost-64/now 5.0.11319-5 amd64 [установлен, локальный]
cprocsp-cpopenssl-64/now 5.0.11319-5 amd64 [установлен, локальный]
cprocsp-cpopenssl-base/now 5.0.11319-5 all [установлен, локальный]
cprocsp-cpopenssl-devel/now 5.0.11319-5 all [установлен, локальный]
cprocsp-cpopenssl-gost-64/now 5.0.11319-5 amd64 [установлен, локальный]
cprocsp-curl-64/now 5.0.11319-5 amd64 [установлен, локальный]
lsb-cprocsp-base/now 5.0.11319-5 all [установлен, локальный]
lsb-cprocsp-ca-certs/now 5.0.11319-5 all [установлен, локальный]
lsb-cprocsp-capilite-64/now 5.0.11319-5 amd64 [установлен, локальный]
lsb-cprocsp-kc1-64/now 5.0.11319-5 amd64 [установлен, локальный]
lsb-cprocsp-rdr-64/now 5.0.11319-5 amd64 [установлен, локальный]
Пытаемся организовать тунель до api.dom.gosuslugi.ru Пользуем stunnel-msspi 5.50 отсюда stunnel-msspiниже конфиг cat /etc/stunnel.conf
msspi = yes
client=yes
CAFile=/etc/crypto/CA-PPAK.pem
output=/var/log/stunnel.log
DEBUG=7
verify=3
Cert=b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a
pin=1
CApath=My
[pseudo-https]
accept = 192.168.10.190:8080
connect = api.dom.gosuslugi.ru:443
ciphers = GOST2001-GOST89-GOST89
вырезал только ошибки tail -f /var/log/syslog
Jan 31 07:19:54 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 07:19:54 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CryptAcquireContextA!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: <capi10>CPCAPI_I_GetDefaultProvider!Reconnect FAIL, hProv = (nil)
Jan 31 07:19:54 tunnel stunnel: <capi20>CertOpenStore!failed: LastError = 0x8009001D
Jan 31 07:19:54 tunnel stunnel: LOG6[7]: msspi: try open cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a" as file
Jan 31 07:19:54 tunnel stunnel: LOG3[7]: msspi: set_mycert failed: "can not open file" (cert = "b0eadf47a82ccd4a11662ff3b6cf6f7063526a4a")
Что мы делаем не так ? Абсолютно та же проблема, перепробывали все варианты ! Из коробки не работает !
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Автор: KHotemov Dmitriy Абсолютно та же проблема, перепробывали все варианты ! Из коробки не работает !
По вашему описанию всё должно работать, непонятная проблема. Предлагается усилить журналирование: Код:/opt/cprocsp/sbin/amd64/cpconfig -loglevel cpcsp -mask 0xf
/opt/cprocsp/sbin/amd64/cpconfig -loglevel capi20 -mask 0xf
Воспроизвести проблему. Прислать отладочный архив: Код:curl http://cryptopro.ru/sites/default/files/products/csp/cprodiag 2>/dev/null|sudo perl
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,540
Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 37 раз
Поблагодарили: 502 раз в 356 постах
|
Итого: ошибка рассогласуется с описанием ошибки, есть подозрение что вы используете версию stunnel с форком, но мы такую версию с августа 2018 не выкладываем.
Поэтому просьба описать порядок действий по шагам на чистой системе приводящий к ошибке. |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
