Atom Лента - Форум КриптоПро - Тема:stunnel-msspi настройка двусторонней аутентификации - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:stunnel-msspinastrojjkadvustoronnejjautentifikacii-10:1Copyright 2024 Форум КриптоПро2024-03-29T18:57:16Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.rupdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdpdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdtwo_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceanspdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdtwo_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceansAlexandertlthttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=54888&name=Alexandertltpdhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=6841&name=pdAlexandertlthttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=54888&name=AlexandertltYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid118555:1stunnel-msspi настройка двусторонней аутентификации<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=118548#post118548"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если это тоже работает в дополнение к базовой проверке, то берется пересечение или объединение множеств?</div></div><br />Во всех случая проверки дополняют друг друга, но не исключают, то есть должны пройти все проверки указанные в конфигурации.<br /><br /><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=118548#post118548"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Может поменяться порядок компонент...</div></div><br />Согласно указанному ранее RFC, subject/issuer указанные в формате X.500 всё таки должны переживать перевыпуск.<br /><br /></td></tr></table>2020-08-28T10:19:04+03:002020-08-28T10:19:04+03:00pd<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=118548#post118548"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Если это тоже работает в дополнение к базовой проверке, то берется пересечение или объединение множеств?</div></div><br />Во всех случая проверки дополняют друг друга, но не исключают, то есть должны пройти все проверки указанные в конфигурации.<br /><br /><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=118548#post118548"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Может поменяться порядок компонент...</div></div><br />Согласно указанному ранее RFC, subject/issuer указанные в формате X.500 всё таки должны переживать перевыпуск.<br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118548:1stunnel-msspi настройка двусторонней аутентификацииКонкретный пример: есть защищенный Vipnet координатором канал до некого ресурса, сам ресурс по http. Есть соглашение, по которому мы обязаны "не допустить", чтобы кроме наших сотрудников кто-то имел доступ к каналу. При этом есть наш отдел в отдельном здании, там тот же провайдер Интернета и нужно использовать тот же ресурс, но нет доступа к адресам основной сети.<br /><br />Сейчас мы поднимаем шифрованное штатное VPN соединение Windows с рабочих мест подразделения к основной сети. Что проблематично - сотрудники забывают его включать; бывает сервер закрывает соединение, но на клиенте оно еще считается подключенным; вообще не очень безопасно держать открытым VPN на внешнем IP.<br /><br />Изучали про новейшие функции Майкрософт соединения корпоративных сетей (по сути та же VPN, но между серверами двух мест), но вот беда они требуют обязательного IPv6, а провайдер IPv6 гасит на своем оборудовании. Поэтому думали на заменой VPN на криптотуннель для конкретного порта по гост-2012. Однако если нельзя отфильтровать только "своих", то это не вариант для такой задачи.2020-08-28T06:13:59+03:002020-08-28T06:13:59+03:00two_oceansКонкретный пример: есть защищенный Vipnet координатором канал до некого ресурса, сам ресурс по http. Есть соглашение, по которому мы обязаны "не допустить", чтобы кроме наших сотрудников кто-то имел доступ к каналу. При этом есть наш отдел в отдельном здании, там тот же провайдер Интернета и нужно использовать тот же ресурс, но нет доступа к адресам основной сети.<br /><br />Сейчас мы поднимаем шифрованное штатное VPN соединение Windows с рабочих мест подразделения к основной сети. Что проблематично - сотрудники забывают его включать; бывает сервер закрывает соединение, но на клиенте оно еще считается подключенным; вообще не очень безопасно держать открытым VPN на внешнем IP.<br /><br />Изучали про новейшие функции Майкрософт соединения корпоративных сетей (по сути та же VPN, но между серверами двух мест), но вот беда они требуют обязательного IPv6, а провайдер IPv6 гасит на своем оборудовании. Поэтому думали на заменой VPN на криптотуннель для конкретного порта по гост-2012. Однако если нельзя отфильтровать только "своих", то это не вариант для такой задачи.urn:https:--www-cryptopro-ru:ftPosts:st1:meid118532:1stunnel-msspi настройка двусторонней аутентификации<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=118520#post118520"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Как интересно. По названию параметра предполагал, что разрешение распространяется на все сертификатов определенного УЦ. А оказывается можно одной группе сертификатов (в указанном хранилище) разрешить вход, а другим сертификатам, выданным тем же УЦ, отказать? Или возможны оба сценария (разрешить всем от одного издателя и разрешить выборочно от одного издателя), тогда как настроить? Зависит от того сертификат УЦ в хранилище или конечный сертификат?</div></div><br />Не совсем, базовая проверка до доверенного корня происходит всегда (если проверка активна verify != 0).<br /><br />Если указан CApath, сертификат будет дополнительно проверен на вхождение в хранилище сертификатов CApath.<br /><br />Есть ещё альтернативный путь проверки по списку, через параметры checkSubject/checkIssuer.<br /><br />Это строки в формате X.500 (RFC 2253, CERT_X500_NAME_STR) их может быть больше одной в конфигурации, получается тоже список доступа, но без сопоставления сертификатов побайтно, что может быть более удобно, так как перевыпуск сертификата не повлияет на доступ, ибо subject/issuer останутся неизменными.<br /></td></tr></table>2020-08-27T12:41:40+03:002020-08-27T12:41:40+03:00pd<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=118520#post118520"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Как интересно. По названию параметра предполагал, что разрешение распространяется на все сертификатов определенного УЦ. А оказывается можно одной группе сертификатов (в указанном хранилище) разрешить вход, а другим сертификатам, выданным тем же УЦ, отказать? Или возможны оба сценария (разрешить всем от одного издателя и разрешить выборочно от одного издателя), тогда как настроить? Зависит от того сертификат УЦ в хранилище или конечный сертификат?</div></div><br />Не совсем, базовая проверка до доверенного корня происходит всегда (если проверка активна verify != 0).<br /><br />Если указан CApath, сертификат будет дополнительно проверен на вхождение в хранилище сертификатов CApath.<br /><br />Есть ещё альтернативный путь проверки по списку, через параметры checkSubject/checkIssuer.<br /><br />Это строки в формате X.500 (RFC 2253, CERT_X500_NAME_STR) их может быть больше одной в конфигурации, получается тоже список доступа, но без сопоставления сертификатов побайтно, что может быть более удобно, так как перевыпуск сертификата не повлияет на доступ, ибо subject/issuer останутся неизменными.<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118520:1stunnel-msspi настройка двусторонней аутентификации<table class="content postContainer" width="100%"><tr><td>Как интересно. По названию параметра предполагал, что разрешение распространяется на все сертификатов определенного УЦ. А оказывается можно одной группе сертификатов (в указанном хранилище) разрешить вход, а другим сертификатам, выданным тем же УЦ, отказать? Или возможны оба сценария (разрешить всем от одного издателя и разрешить выборочно от одного издателя), тогда как настроить? Зависит от того сертификат УЦ в хранилище или конечный сертификат?</td></tr></table>2020-08-27T05:41:00+03:002020-08-27T05:41:00+03:00two_oceans<table class="content postContainer" width="100%"><tr><td>Как интересно. По названию параметра предполагал, что разрешение распространяется на все сертификатов определенного УЦ. А оказывается можно одной группе сертификатов (в указанном хранилище) разрешить вход, а другим сертификатам, выданным тем же УЦ, отказать? Или возможны оба сценария (разрешить всем от одного издателя и разрешить выборочно от одного издателя), тогда как настроить? Зависит от того сертификат УЦ в хранилище или конечный сертификат?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118498:1stunnel-msspi настройка двусторонней аутентификации<table class="content postContainer_Alt" width="100%"><tr><td>Спасибо! Совет помог. Заработало!<img src="/forum2/Images/Emoticons/eusa_dance.gif" alt="Dancing" /> </td></tr></table>2020-08-26T16:11:55+03:002020-08-26T16:11:55+03:00Alexandertlt<table class="content postContainer_Alt" width="100%"><tr><td>Спасибо! Совет помог. Заработало!<img src="/forum2/Images/Emoticons/eusa_dance.gif" alt="Dancing" /> </td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118485:1stunnel-msspi настройка двусторонней аутентификации<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexandertlt <a href="/forum2/default.aspx?g=posts&m=118475#post118475"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Здравствуйте. Нужно настроить stunnel на стороне сервера, чтобы сервер запрашивал сертификат клиента.<br />Не могу понять, как указать сертификаты клиентов, которым можно подключаться к серверу.<br /><br />Пример stunnel.conf:<br /><br />[gost]<br />client = no<br />accept = host:4430<br />connect = host:80<br />cert = 26009fffd5bfa4a3921730763b2d30d5b18b37a1<br />CApath = /clients<br />verifyPeer = yes<br />requireCert = yes<br /><br />Подскажите, в каком формате должны находиться сертификаты КЭПов в каталоге /clients ?<br /><br />В документации stunnel (https://www.stunnel.org/static/stunnel.html) указано что сертификаты должны называться в формате XXXXXXXX.r0.<br />Но с помощью c_rehash не получилось получить эти имена.<br /><br />Подскажите, пожалуйста, как указать в stunnel сертификаты КЭП клиентов?</div></div><br />Работа идёт исключительно с хранилищами сертификатов КриптоПро CSP, не с файлами на диске.<br /><br />Например, CApath = TrustedPeople означает, что у вас есть готовое хранилище сертификатов с именем TrustedPeople, в котором лежат сертификаты пользователей, которым разрешён вход.<br /><br />Если CApath не указан, проверка пользовательских сертификатов происходит по цепочке до доверенного издателя в штатном хранилище корневых сертификатов root.</td></tr></table>2020-08-26T14:28:47+03:002020-08-26T14:28:47+03:00pd<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Alexandertlt <a href="/forum2/default.aspx?g=posts&m=118475#post118475"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Здравствуйте. Нужно настроить stunnel на стороне сервера, чтобы сервер запрашивал сертификат клиента.<br />Не могу понять, как указать сертификаты клиентов, которым можно подключаться к серверу.<br /><br />Пример stunnel.conf:<br /><br />[gost]<br />client = no<br />accept = host:4430<br />connect = host:80<br />cert = 26009fffd5bfa4a3921730763b2d30d5b18b37a1<br />CApath = /clients<br />verifyPeer = yes<br />requireCert = yes<br /><br />Подскажите, в каком формате должны находиться сертификаты КЭПов в каталоге /clients ?<br /><br />В документации stunnel (https://www.stunnel.org/static/stunnel.html) указано что сертификаты должны называться в формате XXXXXXXX.r0.<br />Но с помощью c_rehash не получилось получить эти имена.<br /><br />Подскажите, пожалуйста, как указать в stunnel сертификаты КЭП клиентов?</div></div><br />Работа идёт исключительно с хранилищами сертификатов КриптоПро CSP, не с файлами на диске.<br /><br />Например, CApath = TrustedPeople означает, что у вас есть готовое хранилище сертификатов с именем TrustedPeople, в котором лежат сертификаты пользователей, которым разрешён вход.<br /><br />Если CApath не указан, проверка пользовательских сертификатов происходит по цепочке до доверенного издателя в штатном хранилище корневых сертификатов root.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid118475:1stunnel-msspi настройка двусторонней аутентификации<table class="content postContainer_Alt" width="100%"><tr><td>Здравствуйте. Нужно настроить stunnel на стороне сервера, чтобы сервер запрашивал сертификат клиента.<br />Не могу понять, как указать сертификаты клиентов, которым можно подключаться к серверу.<br /><br />Пример stunnel.conf:<br /><br />[gost]<br />client = no<br />accept = host:4430<br />connect = host:80<br />cert = 26009fffd5bfa4a3921730763b2d30d5b18b37a1<br />CApath = /clients<br />verifyPeer = yes<br />requireCert = yes<br /><br />Подскажите, в каком формате должны находиться сертификаты КЭПов в каталоге /clients ?<br /><br />В документации stunnel (https://www.stunnel.org/static/stunnel.html) указано что сертификаты должны называться в формате XXXXXXXX.r0.<br />Но с помощью c_rehash не получилось получить эти имена.<br /><br />Подскажите, пожалуйста, как указать в stunnel сертификаты КЭП клиентов?</td></tr></table>2020-08-26T12:41:42+03:002020-08-26T12:41:42+03:00Alexandertlt<table class="content postContainer_Alt" width="100%"><tr><td>Здравствуйте. Нужно настроить stunnel на стороне сервера, чтобы сервер запрашивал сертификат клиента.<br />Не могу понять, как указать сертификаты клиентов, которым можно подключаться к серверу.<br /><br />Пример stunnel.conf:<br /><br />[gost]<br />client = no<br />accept = host:4430<br />connect = host:80<br />cert = 26009fffd5bfa4a3921730763b2d30d5b18b37a1<br />CApath = /clients<br />verifyPeer = yes<br />requireCert = yes<br /><br />Подскажите, в каком формате должны находиться сертификаты КЭПов в каталоге /clients ?<br /><br />В документации stunnel (https://www.stunnel.org/static/stunnel.html) указано что сертификаты должны называться в формате XXXXXXXX.r0.<br />Но с помощью c_rehash не получилось получить эти имена.<br /><br />Подскажите, пожалуйста, как указать в stunnel сертификаты КЭП клиентов?</td></tr></table>