Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы12>
Опции
К последнему сообщению К первому непрочитанному
Offline Morf_2k7  
#1 Оставлено : 23 августа 2010 г. 21:44:50(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Доброго времени суток.

Прошу сильно не пинать в линуксе я начинающий.

Встала задача настроить Crypto PRO 3.6 на машине где стоит Linux, делал как написано в топике http://www.cryptopro.ru/...aspx?g=posts&t=2134. Запрос создаётся нормально, сохраняется но при регистрации выдаёт ошибку Error: Базовый код ошибки шифрования сертификатов OSS (0x80093000).

Запрос на сертификат: /opt/cprocsp/bin/amd64/cryptcp -creatrqst -dn 'CN=name' -cont '\\.\HDIMAGE\name' /tmp/zap/name.cer
Запрос на регистрацию: /opt/cprocsp/bin/amd64/cryptcp -instcert /tmp/zap/name.cer

Корневой сертификат установил.

Заранее спасибо.


Offline Татьяна  
#2 Оставлено : 25 августа 2010 г. 17:53:20(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Вы не совсем разобрались с процедурой получения сертификата.
Она состоит в следующем:
- Вы делаете запрос на сертификат(cryptcp -creatrqst)
- полученный файл отправляете удостоверяющему центру
- удостоверяющий центр по нему изготавливает сертификат, передает Вам сертификат
- Вы устанавливаете сертификат(cryptcp -instcert)

то есть, устанавливать надо не тот файл, который создается командо -creatrqst, а файл сертификата, полученный от УЦ.
Татьяна
ООО Крипто-Про
Offline Morf_2k7  
#3 Оставлено : 26 августа 2010 г. 13:45:39(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Татьяна написал:
Вы не совсем разобрались с процедурой получения сертификата.
Она состоит в следующем:
- Вы делаете запрос на сертификат(cryptcp -creatrqst)
- полученный файл отправляете удостоверяющему центру
- удостоверяющий центр по нему изготавливает сертификат, передает Вам сертификат
- Вы устанавливаете сертификат(cryptcp -instcert)

то есть, устанавливать надо не тот файл, который создается командо -creatrqst, а файл сертификата, полученный от УЦ.


а можно узнать команду отправки файла удостоверяющему центру?
Offline Morf_2k7  
#4 Оставлено : 26 августа 2010 г. 20:22:06(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

ещё вопрос про stunnel, какие сертификаты надо ставить на стороне клиента и сервера, кроме корневого конечно, я так понимаю что для сервера необходимо проверка подлинности клиента а для клиента проверка подлинности сервера, и данные сертификаты должны принадлежать одному и тому же контейнеру?
Offline Татьяна  
#5 Оставлено : 6 сентября 2010 г. 15:56:57(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
по поводу отправки запроса удостоверяющему центру: есть несколько вариантов, которые зависят от того какое ПО стоит на стороне центра и как оно настроено.

1) если используется MS CA, который настроен на автоматический выпуск сертификатов, то можно сделать сертификат при помощи
cryptcp -creatcert (подробно см. в документации по cryptcp)
2) в любом случае, можно сделать файл запроса, перенести любым способом файл на УЦ(на флешке или отправить по интернету) и выпустить там сертификат по файлу запроса.
Татьяна
ООО Крипто-Про
Offline Татьяна  
#6 Оставлено : 6 сентября 2010 г. 15:58:55(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Про stannel: на сервере -- аутентификация сервера, на клиенте -- аутентификация клиента. Не совсем понятна фраза "данные сертификаты должны принадлежать одному и тому же контейнеру?". Закрытые ключи в общем случае используются разные.
Татьяна
ООО Крипто-Про
Offline Morf_2k7  
#7 Оставлено : 6 сентября 2010 г. 19:05:15(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Татьяна написал:
Про stannel: на сервере -- аутентификация сервера, на клиенте -- аутентификация клиента. Не совсем понятна фраза "данные сертификаты должны принадлежать одному и тому же контейнеру?". Закрытые ключи в общем случае используются разные.


Спасибо большое за ответ.

Но у меня возникла сложность теперь с настройкой stunnel по windows, установлен Crypro pro 3.6, установлен сертификат аутентификации сервера, CN или имя стоит "название компьютера.название домена.ru" , установлен корневой сертификат.
прописываю в конфиге все параметры, привожу пример для клиента

cert = c:\cer.cer

socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

debug = 7
output=c:\TEMP\stunnel.log

client = yes

[https]
accept = 192.168.0.38:1500
connect = 192.168.0.218:1502
mutual_auth = no

служба создаётся, запускаю как локальную, но в логе ошибка

2010.09.06 14:54:48 LOG5[5796:1236]: stunnel 4.18 on x86-pc-unknown
2010.09.06 14:54:48 LOG5[5796:1236]: Threading:WIN32 Sockets:SELECT,IPv6
2010.09.06 14:54:48 LOG5[5796:1236]: No limit detected for the number of clients
2010.09.06 14:54:48 LOG7[5796:1236]: FD 168 in non-blocking mode
2010.09.06 14:54:48 LOG7[5796:1236]: SO_REUSEADDR option set on accept socket
2010.09.06 14:54:48 LOG7[5796:1236]: https bound to 192.168.0.38:1500
2010.09.06 14:52:27 LOG7[1256:3724]: Creating a new thread
2010.09.06 14:52:27 LOG7[1256:3724]: New thread created
2010.09.06 14:52:27 LOG7[1256:5644]: client start
2010.09.06 14:52:27 LOG7[1256:5644]: https started
2010.09.06 14:52:27 LOG7[1256:5644]: FD 64 in non-blocking mode
2010.09.06 14:52:27 LOG7[1256:5644]: TCP_NODELAY option set on local socket
2010.09.06 14:52:27 LOG5[1256:5644]: https connected from 192.168.0.38:2036
2010.09.06 14:52:27 LOG7[1256:5644]: FD 228 in non-blocking mode
2010.09.06 14:52:27 LOG7[1256:5644]: https connecting
2010.09.06 14:52:27 LOG7[1256:5644]: connect_wait: waiting 10 seconds
2010.09.06 14:52:27 LOG7[1256:5644]: connect_wait: connected
2010.09.06 14:52:27 LOG7[1256:5644]: Remote FD=228 initialized
2010.09.06 14:52:27 LOG7[1256:5644]: TCP_NODELAY option set on remote socket
2010.09.06 14:52:27 LOG7[1256:5644]: start SSPI connect
2010.09.06 14:52:27 LOG7[1256:5644]: open file c:\cer.cer with certificate
2010.09.06 14:52:27 LOG3[1256:5644]: Error 0x80092004 returned by CertFindCertificateInStore

2010.09.06 14:52:27 LOG3[1256:5644]: Error creating credentials
2010.09.06 14:52:27 LOG5[1256:5644]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2010.09.06 14:52:27 LOG7[1256:5644]: free Buffers
2010.09.06 14:52:27 LOG7[1256:5644]: delete c->hClientCreds
2010.09.06 14:52:27 LOG5[1256:5644]: incomp_mess = 0, extra_data = 0
2010.09.06 14:52:27 LOG7[1256:5644]: https finished (0 left)

а если запустить службу с учётной записью под которой вхожу в домен ( имя пользователя@имя домена.ru ) то в логах появляется ошибка

2010.09.06 14:54:48 LOG5[5796:1236]: stunnel 4.18 on x86-pc-unknown
2010.09.06 14:54:48 LOG5[5796:1236]: Threading:WIN32 Sockets:SELECT,IPv6
2010.09.06 14:54:48 LOG5[5796:1236]: No limit detected for the number of clients
2010.09.06 14:54:48 LOG7[5796:1236]: FD 168 in non-blocking mode
2010.09.06 14:54:48 LOG7[5796:1236]: SO_REUSEADDR option set on accept socket
2010.09.06 14:54:48 LOG7[5796:1236]: https bound to 192.168.0.38:1500
2010.09.06 14:56:46 LOG7[5796:1236]: https accepted FD=68 from 192.168.0.38:2231
2010.09.06 14:56:46 LOG7[5796:1236]: Creating a new thread
2010.09.06 14:56:46 LOG7[5796:1236]: New thread created
2010.09.06 14:56:46 LOG7[5796:2260]: client start
2010.09.06 14:56:46 LOG7[5796:2260]: https started
2010.09.06 14:56:46 LOG7[5796:2260]: FD 68 in non-blocking mode
2010.09.06 14:56:46 LOG7[5796:2260]: TCP_NODELAY option set on local socket
2010.09.06 14:56:46 LOG5[5796:2260]: https connected from 192.168.0.38:2231
2010.09.06 14:56:46 LOG7[5796:2260]: FD 228 in non-blocking mode
2010.09.06 14:56:46 LOG7[5796:2260]: https connecting
2010.09.06 14:56:46 LOG7[5796:2260]: connect_wait: waiting 10 seconds
2010.09.06 14:56:46 LOG7[5796:2260]: connect_wait: connected
2010.09.06 14:56:46 LOG7[5796:2260]: Remote FD=228 initialized
2010.09.06 14:56:46 LOG7[5796:2260]: TCP_NODELAY option set on remote socket
2010.09.06 14:56:46 LOG7[5796:2260]: start SSPI connect
2010.09.06 14:56:46 LOG7[5796:2260]: open file c:\cer.cer with certificate
2010.09.06 14:56:48 LOG3[5796:2260]: Credentials compleet
2010.09.06 14:56:48 LOG7[5796:2260]: 96 bytes of handshake data sent
2010.09.06 14:56:48 LOG5[5796:2260]: -1 bytes of handshake(in handshake loop) data received.
2010.09.06 14:56:48 LOG3[5796:2260]: **** Error 0x80090300 returned by InitializeSecurityContext (2)
2010.09.06 14:56:48 LOG3[5796:2260]: Error performing handshake
2010.09.06 14:56:48 LOG5[5796:2260]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2010.09.06 14:56:48 LOG7[5796:2260]: free Buffers
2010.09.06 14:56:48 LOG7[5796:2260]: delete c->hClientCreds
2010.09.06 14:56:48 LOG5[5796:2260]: incomp_mess = 0, extra_data = 0
2010.09.06 14:56:48 LOG7[5796:2260]: https finished (0 left)

от сюда у меня вопрос, что за ошибка во втором случае? и имя сертификата должно совпадать с именем компьютера и учетной записью в домене?

P.S. компьютер находится в домене имя компьютера = имя пользователя.имя домена.ru, когда устанавливаю свойства запуска службы с учётной записью домена то запись = имя пользователя@имя домена.ru

может поэтому и возникает ошибка потому что имя компьютера не совпадает с именем учётной записи в домене?

Отредактировано пользователем 6 сентября 2010 г. 19:09:54(UTC)  | Причина: Не указана

Offline Татьяна  
#8 Оставлено : 8 сентября 2010 г. 18:59:58(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
сертификат установлен на этом компьютере? в какое хранилище?
Татьяна
ООО Крипто-Про
Offline Morf_2k7  
#9 Оставлено : 8 сентября 2010 г. 20:57:56(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Татьяна написал:
сертификат установлен на этом компьютере? в какое хранилище?


да сертификат установлен на данном компьютере в разделе текущий пользователь/реестр, т.е. хранилище находится в реестре, установлен под учётной записью пользователя который и делает запрос

дополнительно прилагаю картинку параметров запроса на сертификат, сертификат создаю на вашем тестовом УЦ

UserPostedImage

Отредактировано пользователем 8 сентября 2010 г. 21:08:15(UTC)  | Причина: Не указана

Offline Татьяна  
#10 Оставлено : 27 сентября 2010 г. 19:09:25(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Нужно поставить сертификаты в хранилище локального компьютера.
Позволю себе процитировать инструкцию по настройке stunnel на windows:
Цитата:
2.2. Установка сертификатов
Для работы службы в режиме сервера обязательно нужен сертификат аутентификации сервера. Сервер может требовать, а может не требовать сертификат клиента при соединении клиента с сервером.
Как на клиенте, так и на сервере нужно установить необходимые сертификаты:
а) сертификат корневого Центра Сертификации (ЦС) – в хранилище «Доверенные корневые Центры Сертификации» локального компьютера;
б) если сертификат сервера или клиента выдан на подчинённом ЦС - сертификаты всех подчиненных ЦС в цепочке должны быть установлены в хранилище «Промежуточные Центры Сертификации» локального компьютера;
в) на сервере должен быть установлен сертификат сервера в хранилище «Личные» локального компьютера с привязкой к контейнеру закрытого ключа сервера;
г) если сервер требует сертификат клиента – то на клиентском компьютере должен быть установлен сертификат клиента в хранилище «Личные» локального компьютера с привязкой к контейнеру закрытого ключа клиента.
Татьяна
ООО Крипто-Про
Offline Morf_2k7  
#11 Оставлено : 11 октября 2010 г. 14:45:03(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Сертификаты стоят в хранилище локального компьютера. Служба запускается, в логе ошибок нет, но при коннекте к другому компьютеру через канал пишет ошибку которую я описывал ранее, сразу скажу что на втором компьютере стоит Линукс личный сертификат стоит в uMy, корневой в uRoot, устанавливал ПО и устанавливал сертификаты пользователем root, stunnel запускал тоже под учётной записью пользователя root, скажи правильно я сделал или может надо устанавливать сертификаты и запускать stunnel под учётной записью другого пользователя?
Offline Morf_2k7  
#12 Оставлено : 12 октября 2010 г. 20:11:48(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Татьяна скажи пожалуста у меня стоит Линукс "Linux version 2.6.16.60-0.54.5-smp (geeko@buildhost) (gcc version 4.1.2 20070115 (SUSE Linux)) #1 SMP Fri Sep 4 01:28:03 UTC 2009"

под данный линукс проводились тесты?
Offline Татьяна  
#13 Оставлено : 13 октября 2010 г. 20:48:52(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
под в точности такой дистрибутив -- нет.
но у нас есть стенды с suse 10, suse 11, на них каждый день проводится тестирование новой сборки CSP + stunnel
Татьяна
ООО Крипто-Про
Offline Morf_2k7  
#14 Оставлено : 15 октября 2010 г. 16:34:40(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Татьяна написал:
под в точности такой дистрибутив -- нет.
но у нас есть стенды с suse 10, suse 11, на них каждый день проводится тестирование новой сборки CSP + stunnel


Татьяна скажи пожалуйста, а если я поставлю и настрою крипто про и установлю stunnel скаченный не с ваше сайта, а с официального, настройки произведу согласно руководству с вашего сайта, в данном случае канал будет шифрованным? если будет то будет он шифрованный по гостам?
Offline Татьяна  
#15 Оставлено : 18 октября 2010 г. 14:51:07(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Нет, эта версия stunnel не работает с ГОСТ-ом(по крайней мере через наш CSP. сейчас ГОСТ добавляют в openssl, с openssl-ной реализацией может и будет работать, но она не сертифицирована).
Татьяна
ООО Крипто-Про
Offline Morf_2k7  
#16 Оставлено : 19 октября 2010 г. 14:02:48(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Татьяна написал:
Нет, эта версия stunnel не работает с ГОСТ-ом(по крайней мере через наш CSP. сейчас ГОСТ добавляют в openssl, с openssl-ной реализацией может и будет работать, но она не сертифицирована).


Спасибо большое за ответ.
Но скажите пожалуйста, возможно ли такое что stunnel скаченный с вашего сайта не работает на данном дистрибутиве Linux?
Offline Татьяна  
#17 Оставлено : 22 октября 2010 г. 20:40:53(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Всё возможно, но продукт поддерживается и мы стараемся бороться с неисправностями.
Если этот дистрибутив входит в список тех, где поддерживается CSP, то опишите неработоспособность, будем разбираться.
Татьяна
ООО Крипто-Про
Offline Morf_2k7  
#18 Оставлено : 22 октября 2010 г. 21:36:10(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Татьяна написал:
Всё возможно, но продукт поддерживается и мы стараемся бороться с неисправностями.
Если этот дистрибутив входит в список тех, где поддерживается CSP, то опишите неработоспособность, будем разбираться.


Все логи и шаги настройки согласно вашей инструкции я описывал выше, но программа не хочет работать, и причины её не работоспособности не могу найти, облазил весь форум но не помогло, прошу вас посмотреть ещё раз на весь пост и логи, может всё таки будут идет по настройки программы, или может сертификаты какие-нибудь "битые". Если такое возможно и возможно ли от вас получить сертификаты по почте, чтобы я на месте установил их?

Заранее спасибо за содействие.

и ещё вопрос, у нас сеть построена так что IP-адрес получает компьютер автоматически, это может влиять на работу Stunnel?

Отредактировано пользователем 25 октября 2010 г. 16:03:44(UTC)  | Причина: Не указана

Offline Татьяна  
#19 Оставлено : 27 октября 2010 г. 15:03:23(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Давайте сначала проверим, что правильно работает клиентская часть на windows. Для этого можно в качестве сервера использовать наш сервер.

В конфиге для клиента на windows пропишите:

[https]
accept = localhost:4001
connect = www.cryptopro.ru:9443

запустите stunnel

попробуйте, удается ли после этого обращаясь с компьютера по адресу localhost:4001 (через браузер) и при этом ходить по нашему сайту.
Татьяна
ООО Крипто-Про
Offline Morf_2k7  
#20 Оставлено : 27 октября 2010 г. 19:36:21(UTC)
Morf_2k7

Статус: Участник

Группы: Участники
Зарегистрирован: 23.08.2010(UTC)
Сообщений: 12

Татьяна написал:
Давайте сначала проверим, что правильно работает клиентская часть на windows. Для этого можно в качестве сервера использовать наш сервер.

В конфиге для клиента на windows пропишите:

[https]
accept = localhost:4001
connect = www.cryptopro.ru:9443

запустите stunnel

попробуйте, удается ли после этого обращаясь с компьютера по адресу localhost:4001 (через браузер) и при этом ходить по нашему сайту.



Татьяна спасибо, настроил клиентскую и серверную часть на windows, работает, очень помогла отдельная настройка клиентской и серверной части, даже не знаю сколько ещё бы настраивал бы без вашей помощи, теперь буду настраивать на Linux-е.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.