Форум Рутокен — Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (Ксения Шаврова) — Wed, 03 Jun 2020 11:51:01 +0000

Подробнее можно посмотреть в этой статье.

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (Сергей Оглы) — Wed, 03 Jun 2020 07:41:36 +0000

Руслан Даянов,
Мой конфиг stunnel.conf (centos 7), openssl+gost_engine и stunnel - собирал из исходников,

cafile = /CA/ca.crt
cert = /CA/server.crt
key = /CA/server.key
engine=gost
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
output = /opt/stunnel/var/log/stunnel.log
client = no
[RDP-TLS-GOST]
ciphers = GOST2012-GOST8912-GOST8912
accept = 1494
connect = IP.RDP.host:3389

клиент win7 stunnel 5.56:

CAFile=c:\CA\ca.crt
engine=rtengine
debug = 7
output = C:\CA\stunnel.log
client = yes
sslVersion=TLSv1
taskbar=yes

[RDP]
engineNum=1
key=pkcs11:model=Rutoken%20ECP;token=Rutoken%20ECP%20%3cno%20label%3e;manufacturer=Aktiv%20Co.;serial=346abfb;id=2020
cert = c:\CA\user.crt
accept = 127.0.0.1:33033
connect = IP.host:1494
TIMEOUTclose = 1

и в openssl.cnf, который в комплекте с stunnel, в начало забросил

openssl_conf = openssl_def
[openssl_def] 
engines = engine_section 
[engine_section]
rtengine = rtengine_section 
[rtengine_section] 
engine_id = rtengine 
dynamic_path = c:/rtengine.dll 
MODULE_PATH = c:/windows/system32/rtpkcs11ecp.dll
default_algorithms = ALL

идентификатор ключа смотрю через openvpn

C:\Program Files\OpenVPN\bin>openvpn.exe --show-pkcs11-ids rtPKCS11ECP.dll
...
Serialized id:  pkcs11:model=Rutoken%20ECP;token=Rutoken%20ECP%20%3cno%20label%3e;manufacturer=Aktiv%20Co.;serial=346abfb;id=2020

Свисток Рутокен 2.0 ЭЦП с неэкспортируемой ключевой парой

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (Павел Анфимов) — Mon, 06 Apr 2020 07:33:40 +0000

Руслан Даянов, здравствуйте Руслан!

Расскажите поподробнее о вашем окружении и трудностях на hotline@rutoken.ru

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (Руслан Даянов) — Sat, 04 Apr 2020 08:50:03 +0000

Виктор Ткаченко, Добрый день! Я немного почитав форум понял что вы разбираетесь в stunnel, я никак не могу подключиться к своему рабочему компьютеру по RDP и разобраться почему, не могли бы Вы мне помочь?

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (shadrint) — Mon, 25 Jun 2018 04:36:34 +0000

Спасибо статье https://forum.rutoken.ru/topic/1884/
В моем случае не обязательно по ГОСТам, все получилось, все работает из коробки

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (shadrint) — Thu, 21 Jun 2018 08:40:02 +0000

Здравствуйте.
Хочу организовать у себя в компании Защита RDP с помощью sTunnel и Рутокен ЭЦП.
К сожалению в примере http://habrahabr.ru/blogs/infosecurity/135369/ ссылки на скачивание собранного stunnel не рабочии
Получилось собрать только клиентскую часть по примеру https://dev.rutoken.ru/pages/viewpage.a … d=18055210
было бы интересно получить патч или уже собранный stunnel

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (miron_valentin) — Wed, 08 Jun 2016 12:59:22 +0000

Тех. поддержка ГИСа ответила...
В чем проблема была, они не уточнили - но я им передавал корневой нашему сертификат. Доступ к их сервисам появился. Получилось получить нормальный ответ на запрос к сервисам.

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (Виктор Ткаченко) — Tue, 17 May 2016 08:35:58 +0000

miron_valentin пишет:

Что значит "Цепочка не построилась"?

Проверка подписи делается, если упрощенно говорить, в два этапа: проверка самой подписи с помощью открытого ключа из сертификата и проверка подписи под сертификатом с помощью открытого ключа из доверенного сертификата CA.

Второй этап - построение цепочки.

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (miron_valentin) — Tue, 17 May 2016 08:29:07 +0000

Вот это не смотрели?
https://www.cryptopro.ru/forum2/default … amp;t=9990

Нет... Верну обратно на IssuerName.

Похоже, что подпись-то проверилась, а цепочка не построилась.

Что значит "Цепочка не построилась"?

А вы уверены, что ГИС ЖКХ доверяет корневому ГАУ РО «РЦИС»

Нет. Напишу в техподдержку ГИСа на счет корневого сертификата.

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (Виктор Ткаченко) — Tue, 17 May 2016 08:04:28 +0000

ЭП не прошла проверку: Certificate is not trusted

Похоже, что подпись-то проверилась, а цепочка не построилась.
А вы уверены, что ГИС ЖКХ доверяет корневому ГАУ РО «РЦИС»?

TLS в этом случае не показатель.

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (Виктор Ткаченко) — Tue, 17 May 2016 07:54:11 +0000

miron_valentin пишет:

Вроде туда должна информация о сертификате CA прописываться.
Это какой сертификат? Который они предоставляют?

Это тот, на котором ваш выписан. Сертификат УЦ.

Вот это не смотрели?
https://www.cryptopro.ru/forum2/default … amp;t=9990

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (miron_valentin) — Tue, 17 May 2016 07:53:12 +0000

Вроде туда должна информация о сертификате CA прописываться.

Это какой сертификат? Который они предоставляют?

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (miron_valentin) — Tue, 17 May 2016 07:48:18 +0000

На счет этого не уверен. Изначально было IssuerName. Исправил, потому что возникала такая ошибка:

ЭП не прошла проверку: Certificate is not trusted: L=г. Ростов-на-Дону,ST=61 Ростовская область,C=RU,1.2.643.100.1=1126195003824,O=КП РО \"Информационная база ЖКХ\",E=analytic@ibzkh.ru,1.2.643.3.131.1.1=006167106894,CN=Электронная система мониторинга технического состояния многоквар; Serial number=315562039713409055859139

После исправления такая:

ЭП не прошла проверку: Cannot find any certificates referenced by xades:SigningCertificate

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (Виктор Ткаченко) — Tue, 17 May 2016 07:37:41 +0000

У вас вот здесь:


                                    
                                        
                                            
                                            Qki0clCAlEW1CJE6UyJ/9+YkofKuz6V8ST9JwiCk1AY=
                                        
                                        
                                            L=г. Ростов-на-Дону,ST=61 Ростовская область,C=RU,1.2.643.100.1=1126195003824,O=КП РО \"Информационная база ЖКХ\",1.2.840.113549.1.9.1=analytic@ibzkh.ru,1.2.643.3.131.1.1=006167106894,CN=Электронная система мониторинга технического состояния многоквар
                                            315562039713409055859139

В качестве IssuerName прописано SubjectName.

То есть не DN издателя сертификата, а DN владельца. И серийник прописан вашего сертификата.

Вроде туда должна информация о сертификате CA прописываться.

Re: Защита RDP по ГОСТам с помощью sTunnel и Рутокен ЭЦП

null@example.com (miron_valentin) — Tue, 17 May 2016 06:44:48 +0000

Да, хэш уже вычисленный подается на вход токену.
Для вычисления использую класс в в библиотеке КриптоПро Gost3411CryptoServiceProvider.
Добавляю этот алгоритм таким способом:

CryptoConfig.AddAlgorithm(typeof(Gost3411CryptoServiceProvider), "http://www.w3.org/2001/04/xmldsig-more#gostr3411", "GOST3411");

В классе GisSignatureHelper в методе GetSignedRequestXades.