Stunnel+Рутокен ЭЦП rdp
Stunnel+Рутокен ЭЦП rdp
Товарищи, уже месяц борюсь с проблемой, никак не могу разобраться.
Если кто то настраивал уже подобное соединение удаленного рабочего стола на debian подобных дистрах прошу оказать содействие.
Вы не авторизованы. Пожалуйста, войдите или зарегистрируйтесь.
Форум Рутокен → Рутокен для Linux → Stunnel+Рутокен ЭЦП rdp
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Stunnel+Рутокен ЭЦП rdp
Товарищи, уже месяц борюсь с проблемой, никак не могу разобраться.
Если кто то настраивал уже подобное соединение удаленного рабочего стола на debian подобных дистрах прошу оказать содействие.
Здравствуйте, Руслан Даянов
Уточните пожалуйста что именно не получается настроить? Какая ошибка возникает? По возможности пришлите скриншот ошибки.
Фатеева Светлана,
Поменял немного конфиг и на сегодня лог выглядит так
stunnel
Enter PKCS#11 token PIN for 88+:
[ ] Clients allowed=500
[.] stunnel 5.56 on x86_64-pc-linux-gnu platform
[.] Compiled with OpenSSL 1.1.1c 28 May 2019
[.] Running with OpenSSL 1.1.1f 31 Mar 2020
[.] Threading:PTHREAD Sockets:POLL,IPv6,SYSTEMD TLS:ENGINE,FIPS,OCSP,PSK,SNI Auth:LIBWRAP
[ ] errno: (*__errno_location ())
[.] Reading configuration from file /etc/stunnel/stunnel.conf
[.] UTF-8 byte order mark not detected
[ ] Enabling support for engine "pkcs11"
[.] UI set for engine #1 (pkcs11)
[ ] Executing engine control command MODULE_PATH:/usr/lib/pkcs11-gost/librtpkcs11ecp.so
[ ] Initializing engine #1 (pkcs11)
[ ] Engine #1 (pkcs11) initialized
[.] FIPS mode disabled
[ ] Compression disabled
[ ] No PRNG seeding was required
[ ] Initializing service [client]
[ ] Ciphers: HIGH:!aNULL:!SSLv2:!DH:!kDHEPSK
[ ] TLSv1.3 ciphersuites: TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256
[ ] TLS options: 0x02100004 (+0x00000000, -0x00000000)
[ ] Client certificate engine (pkcs11) not supported
[ ] Loading certificate from engine ID: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[ ] Certificate loaded from engine ID: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[ ] Initializing private key on engine ID: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[ ] Private key initialized on engine ID: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[ ] Private key check succeeded
[:] Service [client] needs authentication to prevent MITM attacks
[.] Configuration successful
[ ] Binding service [client]
[ ] Listening file descriptor created (FD=10)
[ ] Setting accept socket options (FD=10)
[ ] Option SO_REUSEADDR set on accept socket
[ ] Service [client] (FD=10) bound to 127.0.0.1:3388
[!] Cannot open log file: /var/log/stunnel4/stunnel.log
[ ] Deallocating section defaults
[ ] Unbinding service [client]
[ ] Service [client] closed (FD=10)
[ ] Service [client] closed
[ ] Deallocating section [client]
Фатеева Светлана,
вот вывод команды systemctl status stunnel4.service
stunnel4.service - LSB: Start or stop stunnel 4.x (TLS tunnel for network daemons)
Loaded: loaded (/etc/init.d/stunnel4; generated)
Active: failed (Result: exit-code) since Wed 2020-07-29 15:57:20 +05; 7min ago
Docs: man:systemd-sysv-generator(8)
Process: 27104 ExecStart=/etc/init.d/stunnel4 start (code=exited, status=1/FAILURE)
июл 29 15:57:20 intel stunnel4[27138]: [!] ENGINE_load_private_key: ../crypto/ui/ui_lib.c:545: error:2807106B:UI routines:UI_process:processing er>
июл 29 15:57:20 intel stunnel4[27138]: [ ] Loading private key from file: 35656165303265382d393866612d343530352d386133652d313833356261396166623761>
июл 29 15:57:20 intel stunnel4[27138]: [!] 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45: No such file or directory>
июл 29 15:57:20 intel stunnel4[27138]: [!] Service [client]: Failed to initialize TLS context
июл 29 15:57:20 intel stunnel4[27138]: [ ] Deallocating section defaults
июл 29 15:57:20 intel stunnel4[27104]: failed (no pid=pidfile specified!)
июл 29 15:57:20 intel stunnel4[27104]: You should check that you have specified the pid= in you configuration file
июл 29 15:57:20 intel systemd[1]: stunnel4.service: Control process exited, code=exited, status=1/FAILURE
июл 29 15:57:20 intel systemd[1]: stunnel4.service: Failed with result 'exit-code'.
июл 29 15:57:20 intel systemd[1]: Failed to start LSB: Start or stop stunnel 4.x (TLS tunnel for network daemons).
Вы настраиваете Stunnel и Рутокен ЭЦП согласно этой статье?
Фатеева Светлана,
Нет и честно говоря не нашел тут ответов на свой вопрос
Пропробуйте настроить согласно нашей статье, так как описанный в ней способ был протестирован нами.
Фатеева Светлана,
Отредактировал конфиги openssl и stunnel в соответствии с инструкцией
[ ] Clients allowed=500
[.] stunnel 5.56 on x86_64-pc-linux-gnu platform
[.] Compiled with OpenSSL 1.1.1c 28 May 2019
[.] Running with OpenSSL 1.1.1f 31 Mar 2020
[.] Threading:PTHREAD Sockets:POLL,IPv6,SYSTEMD TLS:ENGINE,FIPS,OCSP,PSK,SNI Auth:LIBWRAP
[ ] errno: (*__errno_location ())
[.] Reading configuration from file /etc/stunnel/stunnel.conf
[.] UTF-8 byte order mark not detected
[ ] Enabling support for engine "rtengine"
[ ] UI not supported by engine #1 (rtengine)
[ ] Initializing engine #1 (rtengine)
[ ] Engine #1 (rtengine) initialized
[.] FIPS mode disabled
[ ] Compression disabled
[ ] No PRNG seeding was required
[ ] Initializing service [remote system]
[ ] Ciphers: HIGH:!aNULL:!SSLv2:!DH:!kDHEPSK
[ ] TLSv1.3 ciphersuites: TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256
[ ] TLS options: 0x02100004 (+0x00000000, -0x00000000)
[ ] Loading certificate from file: 35656165303265382d393866612d343530352d386133652d3138333562613961666237615f45
[!] error queue: ../ssl/ssl_rsa.c:615: error:140DC002:SSL routines:use_certificate_chain_file:system lib
[!] error queue: ../crypto/bio/bss_file.c:290: error:20074002:BIO routines:file_ctrl:system lib
[!] SSL_CTX_use_certificate_chain_file: ../crypto/bio/bss_file.c:288: error:02001002:system library:fopen:No such file or directory
[!] Service [remote system]: Failed to initialize TLS context
[ ] Deallocating section defaults
Уточните какой сертификат вы используете для подключения? RSA или ГОСТ?
Можете прислать файлы конфигурации openssl и stunnel на почту hotline@rutoken.ru ?
hotline@rutoken.ru
Направил
Уточните какой сертификат вы используете для подключения? RSA или ГОСТ?
Это важно для правильной настройки вашего подключения.
Фатеева Светлана,
rsa
Опишите общую схему подключения.
А также попробуйте следующие настройки
[openssl_def]
engines = engine_section
[engine_section]
rtengine = pkcs11_section
[pkcs11_section]
engine_id = pkcs11
dynamic_path = /path/to/pkcs11.so
MODULE_PATH = /usr/lib/librtpkcs11ecp.so
default_algorithms = CIPHERS, DIGEST, PKEY, RAND
Фатеева Светлана,
схема простая)
вставляю токен, запускаю stunnel и подключаюсь к удаленному рабочему столу
попробовал предложенные настройки
итог такой же, stunnel не запускается
Протестировали ваш кейс и получилось настроить систему.
Необходимо проверить некоторые настройки, поэтому пришлите пожалуйста вывод вашей команды генерации сертификата.
Например: openssl req -engine pkcs11 -new -utf8 -key "pkcs11:id=%7a%31%34%7a%68%4e%66%58" -keyform engine -subj "/C=RU/ST=Moscow/L=Moscow/O=Aktiv/OU=dev/CN=testuser/emailAddress=testuser@mail.com (emailAddress=testuser@mail.com)"
Также уточните как именно вы запускаете stunnel? Как сервис или напрямую через sudo?
Чтобы отправить ответ, нужно авторизоваться или зарегистрироваться
Форум Рутокен → Рутокен для Linux → Stunnel+Рутокен ЭЦП rdp