Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Alexandertlt  
#1 Оставлено : 6 декабря 2019 г. 12:44:09(UTC)
Alexandertlt

Статус: Участник

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 13
Российская Федерация
Откуда: Tolyatti

Сказал(а) «Спасибо»: 1 раз
Добрый день!

Переустановили сертификат, с которым раньше все работало. Обновили отпечаток в stunnel.conf. Теперь у нас возникает ошибка на клиенте.

Лог:
SNI: sending servername: justsign.me
msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket

Настройки:
setgid = root
setuid = root
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[justsign.me]
client = yes
accept = 4431
connect = justsign.me:4430
cert = 0c5cac4edc7c02faea86862344abf32fb7c34606
verify = 2

Подскажите, в каких случая возникает эта ошибка? Куда копать?

Спасибо!
Offline Дмитрий Пичулин  
#2 Оставлено : 6 декабря 2019 г. 13:08:34(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Alexandertlt Перейти к цитате
Добрый день!

Переустановили сертификат, с которым раньше все работало. Обновили отпечаток в stunnel.conf. Теперь у нас возникает ошибка на клиенте.

Лог:
SNI: sending servername: justsign.me
msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")
Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket

Настройки:
setgid = root
setuid = root
pid=/var/opt/cprocsp/tmp/stunnel_cli.pid
output=/var/opt/cprocsp/tmp/stunnel_cli.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7

[justsign.me]
client = yes
accept = 4431
connect = justsign.me:4430
cert = 0c5cac4edc7c02faea86862344abf32fb7c34606
verify = 2

Подскажите, в каких случая возникает эта ошибка? Куда копать?

Спасибо!

Функция msspi_set_mycert_options() тестирует сертификат на пригодность к использованию (есть/доступен закрытый ключ, пин подходит или отсутствует, лицензия в порядке).

Проверьте, что ваш сертификат и закрытый ключ функционируют штатно безотносительно stunnel.

Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#3 Оставлено : 6 декабря 2019 г. 13:55:39(UTC)
Alexandertlt

Статус: Участник

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 13
Российская Федерация
Откуда: Tolyatti

Сказал(а) «Спасибо»: 1 раз
Да, сертификат функционирует. Он сейчас успешно используется при подписывании cryptcp -sign

Сертификат устанавливали командой certmgr -install -store uRoot -container '\\.\HDIMAGE\68aed30e-d646-4abf-af67-49a77b6de03e' -file 2.cer

Как еще можно проверить?

Serial : 0x01D4ACA513533AF0000000062F620001
SHA1 Hash : 0c5cac4edc7c02faea86862344abf32fb7c34606
SubjKeyID : 85dc960f502d92cadfed745674ae8f2c030b8f90
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/01/2019 07:36:13 UTC
Not valid after : 15/01/2020 07:36:13 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\68aed30e.000\24AF
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0

Отредактировано пользователем 6 декабря 2019 г. 14:07:02(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#4 Оставлено : 6 декабря 2019 г. 14:27:25(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Alexandertlt Перейти к цитате
Да, сертификат функционирует. Он сейчас успешно используется при подписывании cryptcp -sign

Сертификат устанавливали командой certmgr -install -store uRoot -container '\\.\HDIMAGE\68aed30e-d646-4abf-af67-49a77b6de03e' -file 2.cer

Как еще можно проверить?

Serial : 0x01D4ACA513533AF0000000062F620001
SHA1 Hash : 0c5cac4edc7c02faea86862344abf32fb7c34606
SubjKeyID : 85dc960f502d92cadfed745674ae8f2c030b8f90
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 (512 bits)
Not valid before : 15/01/2019 07:36:13 UTC
Not valid after : 15/01/2020 07:36:13 UTC
PrivateKey Link : Yes
Container : HDIMAGE\\68aed30e.000\24AF
Provider Name : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info : ProvType: 80, KeySpec: 1, Flags: 0x0

Это всё от рута происходит?

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#5 Оставлено : 6 декабря 2019 г. 14:32:51(UTC)
Alexandertlt

Статус: Участник

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 13
Российская Федерация
Откуда: Tolyatti

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате

Это всё от рута происходит?

Да
Автор: Дмитрий Пичулин Перейти к цитате

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.

Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?

Offline Дмитрий Пичулин  
#6 Оставлено : 6 декабря 2019 г. 14:36:05(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Alexandertlt Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

Это всё от рута происходит?

Да
Автор: Дмитрий Пичулин Перейти к цитате

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.

Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?


Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy.
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#7 Оставлено : 6 декабря 2019 г. 14:38:50(UTC)
Alexandertlt

Статус: Участник

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 13
Российская Федерация
Откуда: Tolyatti

Сказал(а) «Спасибо»: 1 раз
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Alexandertlt Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

Это всё от рута происходит?

Да
Автор: Дмитрий Пичулин Перейти к цитате

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.

Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?


Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy.


Этот же сертификат так же есть в списке uMy.
certmgr -list -store uMy

Поясню, если я правильно помню.
Изначально сертификат был в хранилище uMy, потом повторно сделали certmgr -install -store uRoot

Отредактировано пользователем 6 декабря 2019 г. 14:42:13(UTC)  | Причина: дополнение

Offline Дмитрий Пичулин  
#8 Оставлено : 6 декабря 2019 г. 14:43:40(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Alexandertlt Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате
Автор: Alexandertlt Перейти к цитате
Автор: Дмитрий Пичулин Перейти к цитате

Это всё от рута происходит?

Да
Автор: Дмитрий Пичулин Перейти к цитате

И зачем вы сертификат устанавливаете в хранилище корневых сертификатов (-store uRoot)?

Если это пользовательский сертификат, то можно не указывать -store совсем.

Так коллеги посоветовали. Это могло повлиять на то что stunnel не видит сертификат?


Непонятно как он его находит. Stunnel не ищет в хранилище uRoot, только uMy и mMy.


Этот же сертификат так же есть в списке uMy.
certmgr -list -store uMy

Поясню, если я правильно помню.
Изначально сертификат был в хранилище uMy, потом повторно сделали certmgr -install -store uRoot

Сделайте повторно в uMy.
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#9 Оставлено : 6 декабря 2019 г. 17:44:44(UTC)
Alexandertlt

Статус: Участник

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 13
Российская Федерация
Откуда: Tolyatti

Сказал(а) «Спасибо»: 1 раз
Установил повторно. Ошибка повторяется.
Процесс установки был такой:
1. В Windows из файла .pfx экспортировал контейнер
Получилась папка 6ae526f8.000 с файлами header.key, masks.key и проч. .key

2. Эту папку копирую в каталог /var/opt/cprocsp/keys/root/

3. Смотрю что контейнер появился в списке: csptest -keyset -enum_containers -verifycontext

4. Сертификат 2.cer в текущем каталоге. Запускаю:
certmgr -install -store uMy -container '\\.\HDIMAGE\6ae526f8-379e-4569-adbb-01d2ebf5a5de' -file 2.cer

выполняется без ошибок [ErrorCode: 0x00000000]

5. Перезапускаю stunnel: service stunnel-msspi restart

6. Ошибка повторяется((

msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")


Что еще можно сделать?
Offline Дмитрий Пичулин  
#10 Оставлено : 6 декабря 2019 г. 17:47:42(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Alexandertlt Перейти к цитате
Установил повторно. Ошибка повторяется.
Процесс установки был такой:
1. В Windows из файла .pfx экспортировал контейнер
Получилась папка 6ae526f8.000 с файлами header.key, masks.key и проч. .key

2. Эту папку копирую в каталог /var/opt/cprocsp/keys/root/

3. Смотрю что контейнер появился в списке: csptest -keyset -enum_containers -verifycontext

4. Сертификат 2.cer в текущем каталоге. Запускаю:
certmgr -install -store uMy -container '\\.\HDIMAGE\6ae526f8-379e-4569-adbb-01d2ebf5a5de' -file 2.cer

выполняется без ошибок [ErrorCode: 0x00000000]

5. Перезапускаю stunnel: service stunnel-msspi restart

6. Ошибка повторяется((

msspi: msspi_set_mycert_options failed (cert = "0c5cac4edc7c02faea86862344abf32fb7c34606", pin = "")


Что еще можно сделать?

Давайте по вот этой инструкции посмотрим лог: https://www.cryptopro.ru...&m=103456#post103456

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.