Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Shishkin Pavel  
#1 Оставлено : 27 мая 2019 г. 9:03:56(UTC)
Shishkin Pavel

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.05.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 1 раз
Добрый день!

У нас возникла проблема с работой stunnel-msspi: при попытке запуска с конфигурационным файлом, в котором сертификат указан как путь до .cer файла на диске, в логах станнела появляется ошибка "bad file format". если же указывать CN имя сертификата для поиска в хранилищах, то появляется ошибка "can not open file (cert = "<certificat CN name>")".
При этом, сертификат, кажется, корректно установлен в хранилище my пользователя, от имени которого запускается stunnel, у сертификата присутствует связь с приватным ключом.

кофигурация сервера stunnel: https://pastebin.com/zBSrSY8D
лог сервера stunnel: https://pastebin.com/nFJKyzy4
конфигурация клиента stunnel: https://pastebin.com/Wf7na6Kp
лог клиента stunnel: https://pastebin.com/1x3aGPfY


Проверяли, будут ли ошибки в результате выполнения `csptest -tlss -port 10102 -user person1`, но проблем не возникло.
Также проверяли наличие сертификатов в хранилище my: `certmgr -list -store my`, https://pastebin.com/xjsQVXE9

Проблема проявляется лишь на части наших машин и мы не можем понять закономерность появления проблемы.

Список установленных пакетов на машине с проблемой: https://pastebin.com/Zp7MtuMN
Offline Дмитрий Пичулин  
#2 Оставлено : 27 мая 2019 г. 11:37:29(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 411 раз в 306 постах
Автор: Shishkin Pavel Перейти к цитате
Проблема проявляется лишь на части наших машин и мы не можем понять закономерность появления проблемы.

Павел, так как типичные варианты мы с вами уже проверили и ошибок не обнаружили, давайте включим отладочную печать и посмотрим, что происходит более детально.

Запоминаем значения логирования capi10 и capi20 по умолчанию:

Код:
/opt/cprocsp/sbin/amd64/cpconfig -loglevel capi10 -view
/opt/cprocsp/sbin/amd64/cpconfig -loglevel capi20 -view


Включаем режим максимального логирования capi10 и capi20:

Код:
sudo /opt/cprocsp/sbin/amd64/cpconfig -loglevel capi10 -mask 0x1f
sudo /opt/cprocsp/sbin/amd64/cpconfig -loglevel capi10 -format 0x39

sudo /opt/cprocsp/sbin/amd64/cpconfig -loglevel capi20 -mask 0x1f
sudo /opt/cprocsp/sbin/amd64/cpconfig -loglevel capi20 -format 0x39


Повторяем ошибку, смотрим лог:

Цитата:
После этого лог отправляется в syslog (попадает как правило в /var/log/messages или /var/log/auth.log, зависит от настроек syslog)


Знания в базе знаний, поддержка в техподдержке
Offline Shishkin Pavel  
#3 Оставлено : 27 мая 2019 г. 13:45:36(UTC)
Shishkin Pavel

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.05.2019(UTC)
Сообщений: 2
Российская Федерация
Откуда: Новосибирск

Сказал(а) «Спасибо»: 1 раз
После изменений режима логирования:
Код:
$ /opt/cprocsp/sbin/amd64/cpconfig -loglevel capi10 -view
capi10 = 0x1f
capi10_fmt = 0x39
$ /opt/cprocsp/sbin/amd64/cpconfig -loglevel capi20 -view
capi20 = 0x1f
capi20_fmt = 0x39


В /var/log/auth.log появились такие записи:
Код:
May 27 10:23:57 <servername> <executable>: 10:23:57.124991 support_an_fopen:87 p:1812 t:0x0x7f43c01d6d90 support_an_fopen("/var/opt/cprocsp/users/global.ini", "rb") = 0x(nil) fail Permission denied(13)
May 27 10:24:10 <servername> <executable>: 10:24:10.618464 support_an_fopen:87 p:2032 t:0x0x7fdd4e3e3d90 support_an_fopen("/var/opt/cprocsp/users/global.ini", "rb") = 0x(nil) fail Permission denied(13)


права доступа к этому файлу стоят как -rw------ пробовали менять на -rw-rw-rw-, что избавило от ошибок в логе, но никак не помогло в решении проблемы

сразу не заметили, в /var/log/syslog есть больше информации: https://pastebin.com/cTpTDx9P

Отредактировано пользователем 28 мая 2019 г. 13:10:34(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#4 Оставлено : 31 мая 2019 г. 11:12:52(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,441
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 411 раз в 306 постах
Автор: Shishkin Pavel Перейти к цитате
Проблема проявляется лишь на части наших машин и мы не можем понять закономерность появления проблемы.

Выяснилось, что проблема связана с пакетом cpopenssl-gost (почему так происходит разбираемся), пока не рекомендуем им пользоваться совместно с stunnel.

Лечение:

Код:
sudo apt-get remove cprocsp-cpopenssl-gost-64


Знания в базе знаний, поддержка в техподдержке
thanks 1 пользователь поблагодарил pd за этот пост.
Shishkin Pavel оставлено 31.05.2019(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.