cafile = /CA/ca.crt
cert = /CA/server.crt
key = /CA/server.key
engine=gost
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
output = /opt/stunnel/var/log/stunnel.log
client = no
[RDP-TLS-GOST]
ciphers = GOST2012-GOST8912-GOST8912
accept = 1494
connect = IP.RDP.host:3389клиент win7 stunnel 5.56:
CAFile=c:\CA\ca.crt
engine=rtengine
debug = 7
output = C:\CA\stunnel.log
client = yes
sslVersion=TLSv1
taskbar=yes
[RDP]
engineNum=1
key=pkcs11:model=Rutoken%20ECP;token=Rutoken%20ECP%20%3cno%20label%3e;manufacturer=Aktiv%20Co.;serial=346abfb;id=2020
cert = c:\CA\user.crt
accept = 127.0.0.1:33033
connect = IP.host:1494
TIMEOUTclose = 1и в openssl.cnf, который в комплекте с stunnel, в начало забросил
openssl_conf = openssl_def
[openssl_def]
engines = engine_section
[engine_section]
rtengine = rtengine_section
[rtengine_section]
engine_id = rtengine
dynamic_path = c:/rtengine.dll
MODULE_PATH = c:/windows/system32/rtpkcs11ecp.dll
default_algorithms = ALLидентификатор ключа смотрю через openvpn
C:\Program Files\OpenVPN\bin>openvpn.exe --show-pkcs11-ids rtPKCS11ECP.dll
...
Serialized id: pkcs11:model=Rutoken%20ECP;token=Rutoken%20ECP%20%3cno%20label%3e;manufacturer=Aktiv%20Co.;serial=346abfb;id=2020Свисток Рутокен 2.0 ЭЦП с неэкспортируемой ключевой парой
]]>Расскажите поподробнее о вашем окружении и трудностях на hotline@rutoken.ru
]]>Что значит "Цепочка не построилась"?
Проверка подписи делается, если упрощенно говорить, в два этапа: проверка самой подписи с помощью открытого ключа из сертификата и проверка подписи под сертификатом с помощью открытого ключа из доверенного сертификата CA.
Второй этап - построение цепочки.
]]>Вот это не смотрели?
https://www.cryptopro.ru/forum2/default … amp;t=9990
Нет... Верну обратно на IssuerName.
Похоже, что подпись-то проверилась, а цепочка не построилась.
Что значит "Цепочка не построилась"?
А вы уверены, что ГИС ЖКХ доверяет корневому ГАУ РО «РЦИС»
Нет. Напишу в техподдержку ГИСа на счет корневого сертификата.
]]>ЭП не прошла проверку: Certificate is not trustedПохоже, что подпись-то проверилась, а цепочка не построилась.
А вы уверены, что ГИС ЖКХ доверяет корневому ГАУ РО «РЦИС»?
TLS в этом случае не показатель.
]]>Вроде туда должна информация о сертификате CA прописываться.
Это какой сертификат? Который они предоставляют?
Это тот, на котором ваш выписан. Сертификат УЦ.
Вот это не смотрели?
https://www.cryptopro.ru/forum2/default … amp;t=9990
Вроде туда должна информация о сертификате CA прописываться.
Это какой сертификат? Который они предоставляют?
]]>ЭП не прошла проверку: Certificate is not trusted: L=г. Ростов-на-Дону,ST=61 Ростовская область,C=RU,1.2.643.100.1=1126195003824,O=КП РО \"Информационная база ЖКХ\",E=analytic@ibzkh.ru,1.2.643.3.131.1.1=006167106894,CN=Электронная система мониторинга технического состояния многоквар; Serial number=315562039713409055859139После исправления такая:
ЭП не прошла проверку: Cannot find any certificates referenced by xades:SigningCertificate
<xades:SigningCertificate>
<xades:Cert>
<xades:CertDigest>
<ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#gostr3411" />
<ds:DigestValue>Qki0clCAlEW1CJE6UyJ/9+YkofKuz6V8ST9JwiCk1AY=</ds:DigestValue>
</xades:CertDigest>
<xades:IssuerSerial>
<ds:X509IssuerName>L=г. Ростов-на-Дону,ST=61 Ростовская область,C=RU,1.2.643.100.1=1126195003824,O=КП РО \"Информационная база ЖКХ\",1.2.840.113549.1.9.1=analytic@ibzkh.ru,1.2.643.3.131.1.1=006167106894,CN=Электронная система мониторинга технического состояния многоквар</ds:X509IssuerName>
<ds:X509SerialNumber>315562039713409055859139</ds:X509SerialNumber>
</xades:IssuerSerial>
</xades:Cert>
</xades:SigningCertificate>В качестве IssuerName прописано SubjectName.
То есть не DN издателя сертификата, а DN владельца. И серийник прописан вашего сертификата.
Вроде туда должна информация о сертификате CA прописываться.
]]>CryptoConfig.AddAlgorithm(typeof(Gost3411CryptoServiceProvider), "http://www.w3.org/2001/04/xmldsig-more#gostr3411", "GOST3411");В классе GisSignatureHelper в методе GetSignedRequestXades.
]]>