Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы123>
Опции
К последнему сообщению К первому непрочитанному
Offline ingtar  
#1 Оставлено : 17 сентября 2013 г. 18:55:03(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Добрый день! Отправлял письмо на ящик технической поддержки, на всякий случай спрошу еще и тут - вдруг кто уже сталкивался с таким делом...
Требуется отправлять данные с одного сервера на другой, используя TLS и сертификат соответственно.
Был запрошен сертификат у ЗАО "Национальный удостоверяющий центр". Получили тестовый сертификат письмом, архив с папкой fb-test.000 и внутри 6 файликов.



Делаю HDIMAGE для этих файликов:
cpconfig -hardware reader -add HDIMAGE store

Контейнер появился, я вижу его командой /opt/cprocsp/bin/amd64/csptest -keyset -enum_cont -fqcn -verifyc

Копирую туда папку из архива (fb-test.000 и 6 файлов внутри)

Ставлю из этого контейнера сертификат:
/opt/cprocsp/bin/amd64/certmgr -inst -cont '\\.\HDIMAGE\fb-test'


Пароль не запрашивает (хотя закрытый ключ имеет защиту ПИН согласно информации от НУЦ)
Если использовать ключ -pin и указать сообщенный пароль, установка так же завершается корректно.

Смотрим, что оно поставилось: /opt/cprocsp/bin/amd64/certmgr -list




Сертификат экспортируется для указания его в stunnel:
/opt/cprocsp/bin/amd64/certmgr -export -dest fabr.cer -cont '\\.\HDIMAGE\fb-test'
Файлик создается -

После чего файлик копируется в соответствующую папку.
настройка stunel (полный конфиг нет возможности указать на данный момент):
cert = /etc/stunnel/pers_cert/fabr.cer
Запуск стуннеля:
sudo /opt/cprocsp/sbin/amd64/stunnel_thread /etc/stunnel/stunnel.conf &

при попытке курлом обратиться на сайт -
длинная простыня из слова Password:
Password:
Password:
Password:
Password:
Password:
Password:
Password:

В логах стуннеля:
2013.09.17 15:19:26 LOG7[8120:140602890352384]: https connecting
2013.09.17 15:19:26 LOG7[8120:140602890352384]: connect_wait: waiting 10
seconds
2013.09.17 15:19:26 LOG7[8120:140602890352384]: connect_wait: connected
2013.09.17 15:19:26 LOG7[8120:140602890352384]: Remote FD=14 initialized
2013.09.17 15:19:26 LOG7[8120:140602890352384]: TCP_NODELAY option set
on remote socket
2013.09.17 15:19:26 LOG7[8120:140602890352384]: start SSPI connect
2013.09.17 15:19:26 LOG7[8120:140602890352384]: open file
/etc/stunnel/pers_cert/fabr.cer with certificate

После этого процесс зависает и помогает только убийство и запуск туннеля
по новой. Причем пока висит туннель - нельзя производить манипуляции с
сертификатми (добавление, список сертификатов в контейнере)

Есть подозрение, что я неправильно устанавливаю сертификат, или с ним нужно производить дополнительные манипуляции.
Буду признателен за помощь
Offline Максим Коллегин  
#2 Оставлено : 17 сентября 2013 г. 22:11:45(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Сделайте пустой пароль на контейнер.
Знания в базе знаний, поддержка в техподдержке
Offline ingtar  
#3 Оставлено : 18 сентября 2013 г. 7:45:34(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Подскажите, пожалуйста, как это сделать. Имеются линуксовые утилиты и виндовые машины с КриптоПро CSP
Offline Андрей Писарев  
#4 Оставлено : 18 сентября 2013 г. 7:56:17(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 12,628
Мужчина
Российская Федерация

Сказал «Спасибо»: 493 раз
Поблагодарили: 2034 раз в 1578 постах
Автор: ingtar Перейти к цитате
Подскажите, пожалуйста, как это сделать. Имеются линуксовые утилиты и виндовые машины с КриптоПро CSP


2.5.4. Управление паролями доступа к закрытым ключам
Техническую поддержку оказываем тут
Наша база знаний
Offline ingtar  
#5 Оставлено : 18 сентября 2013 г. 8:56:15(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Удаление ПИНа с контенера помогло, чувствую движение в решении проблемы, спасибо!
Теперь другая напасть - Соединение устанавливается, но вот такие ошибки в логах stunnel:

И соответственно ничего не получаю с той стороны
Конфиг stunnel.conf:


sslVersion закоменчено, т.к. с ней выдается ошибка при запуске тунеля- Specified option name is not valid here

Отредактировано пользователем 18 сентября 2013 г. 10:27:59(UTC)  | Причина: Не указана

Offline cross  
#6 Оставлено : 19 сентября 2013 г. 8:05:39(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
А вы хотите использовать односторонний TLS или двусторонний? Если односторонний то вам не нужен сертификат и ключ для stunnel. Если двусторонний то флаг mutual_auth нужно поставить в yes.
Если при этом ошибка не изменится то попрбуйте обновить дистрибутив CSP + stunnel. Судя по версии Ver:3.6.6497 он не самой последней из ветки 3.6. Пакет из 13 байт на котором сломался stunnel может быть запросом на Renegotiate(длины совпадают), поддержку его разрешили не так давно.

Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline ingtar  
#7 Оставлено : 19 сентября 2013 г. 10:24:26(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Двусторонняя.
При включении mutual_auth в yes он ругается:
file /etc/stunnel/stunnel.conf line 33: Specified option name is not valid here
Offline cross  
#8 Оставлено : 19 сентября 2013 г. 11:03:24(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
рекомендую вам обновится на версию КриптоПро CSP 3.6.7774 (Papaya) от 3.09.2013. В ней опцию mutual_auth можно не указывать вообще, она была убрана.
Можете еще выбрать через опцию -file в csptest тот же запрос как и в stunnel и приложить лог? По умолчанию csptest просит GET default.htm которой на сервере нет. Что бы проследить обмен при требовании аутентификации клиента.
Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
Offline ingtar  
#9 Оставлено : 19 сентября 2013 г. 12:07:10(UTC)
ingtar

Статус: Участник

Группы: Участники
Зарегистрирован: 29.10.2012(UTC)
Сообщений: 11
Откуда: Москва

Обновились до CSP (Type:75) v3.6.5364 KC1, требовать эту штуку оно действительно перестало.
Новый виток проблемы - при обращении к сайту нужному получаем в логах:
curl -v -d "" localhost:1500/223/integration/integration/upload




На всякий случай - актуальный конфиг стуннеля:

Проверяем обращение к вашей тестовой страничке https://www.cryptopro.ru:4444/test/tls-cli.asp:
/opt/cprocsp/bin/amd64/csptestf -tlsc -server cryptopro.ru -port 4444 -file test/tls-cli.asp -user "Фабрикант.ру, ООО" -v

При попытке проверить нужный сайт:


Как быть, куда смотреть?.. паника Brick wall
Offline cross  
#10 Оставлено : 19 сентября 2013 г. 13:09:24(UTC)
Анатолий Беляев

Статус: Сотрудник

Группы: Администраторы, Участники
Зарегистрирован: 24.11.2009(UTC)
Сообщений: 965
Откуда: Crypto-Pro

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 174 раз в 152 постах
Не, теперь мы добились той ошибки которой я ожидал.
Теперь видно что эти 13 байт были как раз запрос на Renegotiate и после предоставления вами вашего сертификата сервер закрыл соединение.
Вам надо задать следующий вопрос владельцам сервера:
Ваш сертификат выдан CN="ЗАО ""Национальный удостоверяющий центр"""
их серверный сертификат выдан нашим тестовым УЦ
CN=Test Center CRYPTO-PRO (что для боевого сервиса весьма странно :) )
Доверяет ли их сервер сертификатам выданным от УЦ "ЗАО ""Национальный удостоверяющий центр""" ?

Отредактировано пользователем 19 сентября 2013 г. 13:10:12(UTC)  | Причина: Не указана

Техническую поддержку оказываем тут.
Наша база знаний.
Наша страничка в Instagram.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы123>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.