Stunnel+Рутокен ЭЦП rdp

Stunnel+Рутокен ЭЦП rdp
Товарищи, уже месяц борюсь с проблемой, никак не могу разобраться.
Если кто то настраивал уже подобное соединение удаленного рабочего стола на debian подобных дистрах прошу оказать содействие.

Re: Stunnel+Рутокен ЭЦП rdp

Здравствуйте, Руслан Даянов
Уточните пожалуйста что именно не получается настроить? Какая ошибка возникает? По возможности пришлите скриншот ошибки.

(2020-07-29 13:41:28 отредактировано Руслан Даянов)

Re: Stunnel+Рутокен ЭЦП rdp

Фатеева Светлана,

Поменял немного конфиг и на сегодня лог выглядит так

stunnel
Enter PKCS#11 token PIN for 88+:
[ ] Clients allowed=500
[.] stunnel 5.56 on x86_64-pc-linux-gnu platform
[.] Compiled with OpenSSL 1.1.1c  28 May 2019
[.] Running  with OpenSSL 1.1.1f  31 Mar 2020
[.] Threading:PTHREAD Sockets:POLL,IPv6,SYSTEMD TLS:ENGINE,FIPS,OCSP,PSK,SNI Auth:LIBWRAP
[ ] errno: (*__errno_location ())
[.] Reading configuration from file /etc/stunnel/stunnel.conf
[.] UTF-8 byte order mark not detected
[ ] Enabling support for engine "pkcs11"
[.] UI set for engine #1 (pkcs11)
[ ] Executing engine control command MODULE_PATH:/usr/lib/pkcs11-gost/librtpkcs11ecp.so
[ ] Initializing engine #1 (pkcs11)
[ ] Engine #1 (pkcs11) initialized
[.] FIPS mode disabled
[ ] Compression disabled
[ ] No PRNG seeding was required
[ ] Initializing service [client]
[ ] Ciphers: HIGH:!aNULL:!SSLv2:!DH:!kDHEPSK
[ ] TLSv1.3 ciphersuites: TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256
[ ] TLS options: 0x02100004 (+0x00000000, -0x00000000)
[ ] Client certificate engine (pkcs11) not supported
[ ] Loading certificate from engine ID: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[ ] Certificate loaded from engine ID: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[ ] Initializing private key on engine ID: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[ ] Private key initialized on engine ID: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[ ] Private key check succeeded
[:] Service [client] needs authentication to prevent MITM attacks
[.] Configuration successful
[ ] Binding service [client]
[ ] Listening file descriptor created (FD=10)
[ ] Setting accept socket options (FD=10)
[ ] Option SO_REUSEADDR set on accept socket
[ ] Service [client] (FD=10) bound to 127.0.0.1:3388
[!] Cannot open log file: /var/log/stunnel4/stunnel.log
[ ] Deallocating section defaults
[ ] Unbinding service [client]
[ ] Service [client] closed (FD=10)
[ ] Service [client] closed
[ ] Deallocating section [client]

Re: Stunnel+Рутокен ЭЦП rdp

Фатеева Светлана,

вот вывод команды systemctl status stunnel4.service

stunnel4.service - LSB: Start or stop stunnel 4.x (TLS tunnel for network daemons)
     Loaded: loaded (/etc/init.d/stunnel4; generated)
     Active: failed (Result: exit-code) since Wed 2020-07-29 15:57:20 +05; 7min ago
       Docs: man:systemd-sysv-generator(8)
    Process: 27104 ExecStart=/etc/init.d/stunnel4 start (code=exited, status=1/FAILURE)

июл 29 15:57:20 intel stunnel4[27138]: [!] ENGINE_load_private_key: ../crypto/ui/ui_lib.c:545: error:2807106B:UI routines:UI_process:processing er>
июл 29 15:57:20 intel stunnel4[27138]: [ ] Loading private key from file: 35656165303265382d393866612d343530352d386133652d313833356261396166623761>
июл 29 15:57:20 intel stunnel4[27138]: [!] 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45: No such file or directory>
июл 29 15:57:20 intel stunnel4[27138]: [!] Service [client]: Failed to initialize TLS context
июл 29 15:57:20 intel stunnel4[27138]: [ ] Deallocating section defaults
июл 29 15:57:20 intel stunnel4[27104]: failed (no pid=pidfile specified!)
июл 29 15:57:20 intel stunnel4[27104]: You should check that you have specified the pid= in you configuration file
июл 29 15:57:20 intel systemd[1]: stunnel4.service: Control process exited, code=exited, status=1/FAILURE
июл 29 15:57:20 intel systemd[1]: stunnel4.service: Failed with result 'exit-code'.
июл 29 15:57:20 intel systemd[1]: Failed to start LSB: Start or stop stunnel 4.x (TLS tunnel for network daemons).

(2020-07-29 14:30:20 отредактировано Фатеева Светлана)

Re: Stunnel+Рутокен ЭЦП rdp

Вы настраиваете Stunnel и Рутокен ЭЦП согласно этой статье?

Re: Stunnel+Рутокен ЭЦП rdp

Фатеева Светлана,
Нет и честно говоря не нашел тут ответов на свой вопрос

Re: Stunnel+Рутокен ЭЦП rdp

Пропробуйте настроить согласно нашей статье, так как описанный в ней способ был протестирован нами.

(2020-07-30 12:11:04 отредактировано Руслан Даянов)

Re: Stunnel+Рутокен ЭЦП rdp

Фатеева Светлана,

Отредактировал конфиги openssl и stunnel в соответствии с инструкцией



[ ] Clients allowed=500
[.] stunnel 5.56 on x86_64-pc-linux-gnu platform
[.] Compiled with OpenSSL 1.1.1c  28 May 2019
[.] Running  with OpenSSL 1.1.1f  31 Mar 2020
[.] Threading:PTHREAD Sockets:POLL,IPv6,SYSTEMD TLS:ENGINE,FIPS,OCSP,PSK,SNI Auth:LIBWRAP
[ ] errno: (*__errno_location ())
[.] Reading configuration from file /etc/stunnel/stunnel.conf
[.] UTF-8 byte order mark not detected
[ ] Enabling support for engine "rtengine"
[ ] UI not supported by engine #1 (rtengine)
[ ] Initializing engine #1 (rtengine)
[ ] Engine #1 (rtengine) initialized
[.] FIPS mode disabled
[ ] Compression disabled
[ ] No PRNG seeding was required
[ ] Initializing service [remote system]
[ ] Ciphers: HIGH:!aNULL:!SSLv2:!DH:!kDHEPSK
[ ] TLSv1.3 ciphersuites: TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256
[ ] TLS options: 0x02100004 (+0x00000000, -0x00000000)
[ ] Loading certificate from file: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[!] error queue: ../ssl/ssl_rsa.c:615: error:140DC002:SSL routines:use_certificate_chain_file:system lib
[!] error queue: ../crypto/bio/bss_file.c:290: error:20074002:BIO routines:file_ctrl:system lib
[!] SSL_CTX_use_certificate_chain_file: ../crypto/bio/bss_file.c:288: error:02001002:system library:fopen:No such file or directory
[!] Service [remote system]: Failed to initialize TLS context
[ ] Deallocating section defaults

Re: Stunnel+Рутокен ЭЦП rdp

Уточните какой сертификат вы используете для подключения? RSA или ГОСТ?
Можете прислать файлы конфигурации openssl и stunnel на почту hotline@rutoken.ru ?

Re: Stunnel+Рутокен ЭЦП rdp

Фатеева Светлана пишет:

hotline@rutoken.ru

Направил

Re: Stunnel+Рутокен ЭЦП rdp

Уточните какой сертификат вы используете для подключения? RSA или ГОСТ?
Это важно для правильной настройки вашего подключения.

Re: Stunnel+Рутокен ЭЦП rdp

Фатеева Светлана,
rsa

Re: Stunnel+Рутокен ЭЦП rdp

Опишите общую схему подключения.
А также попробуйте следующие настройки
[openssl_def]
engines = engine_section

[engine_section]
rtengine = pkcs11_section

[pkcs11_section]
engine_id = pkcs11
dynamic_path = /path/to/pkcs11.so
MODULE_PATH = /usr/lib/librtpkcs11ecp.so
default_algorithms = CIPHERS, DIGEST, PKEY, RAND

Re: Stunnel+Рутокен ЭЦП rdp

Фатеева Светлана,
схема простая)
вставляю токен, запускаю stunnel и подключаюсь к удаленному рабочему столу
попробовал предложенные настройки
итог такой же, stunnel не запускается

Re: Stunnel+Рутокен ЭЦП rdp

Протестировали ваш кейс и получилось настроить систему.
Необходимо проверить некоторые настройки, поэтому пришлите пожалуйста вывод вашей команды генерации сертификата.
Например: openssl req -engine pkcs11 -new -utf8 -key "pkcs11:id=%7a%31%34%7a%68%4e%66%58" -keyform engine -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com (emailAddress=testuser@mail.com)"

Также уточните как именно вы запускаете stunnel? Как сервис или напрямую через sudo?