These are chat archives for springjazzy/GIS_JKH_Integration

21st
Oct 2016
Дмитрий Кузнецов
@kekzik
Oct 21 2016 06:34
нашел такой конфиг

verify=2
client=yes
CAFile=..\crypto\CA-SIT.pem
engine=gost
error_image=error.png
usb_eject=yes
;output=stunnel.log
sslVersion=TLSv1
taskbar=yes
DEBUG=7

[pseudo-https]
protocol = http
accept = 127.0.0.1:8080
connect = 217.107.108.156:10081

connect = 217.107.108.147:10081

ciphers = GOST2001-GOST89-GOST89
TIMEOUTclose = 0
cert=..\crypto\test.pem
key=..\crypto\test.key
cert_sign=..\crypto\client.crt
key_sign=..\crypto\client.key
sign_only_new=no
sign_inputs=ID797C1C735EEB4926925375E1D6907834
sign_files=IDCBB806E365FB4FBA9490AB20303971F4

cert_sign, key_sign, не понимаю откуда взять
pomatsuev
@pomatsuev
Oct 21 2016 06:54

@kekzik
verify=2
client = yes
CAFile=C:\hcstunnel\keys\CA-SIT.pem
engine = gost
engineDefault = ALL
sslVersion = TLSv1
compression = zlib
;output=stunnel.log
DEBUG=7
engineId = gost

cert=C:\hcstunnel\keys\nov.pem
key=C:\hcstunnel\keys\nov.key

[dom-gosuslugi-tunnel]
accept = 127.0.0.1:60045
connect = 217.107.108.156:10081
ciphers = GOST2001-GOST89-GOST89

В личном кабинете НА СИТ делаешь заявку на ИС, Прикладываешь к ней сертификат, точно такой же, из которого получил test.pem/test.key

Дмитрий Кузнецов
@kekzik
Oct 21 2016 07:01
а cert и key это ключи из токена?
Дмитрий Кузнецов
@kekzik
Oct 21 2016 07:10
может меня кто нибудь по скайпу проконсультировать по этому вопросу? уже неделю с этой проблемой сижу.
Pavel Druzhinin
@pavelDruzhinin
Oct 21 2016 07:53
@kekzik В документации все есть. Почитайте внимательнее. Множество вопросов само по себе отпадет
Дмитрий Кузнецов
@kekzik
Oct 21 2016 08:11
мы не можем понять ошибка в запросе или в тунеле
BUGBEAR
@iBUGBEAR
Oct 21 2016 08:18
  1. Загрузить и установить МагПро Криптопакет (http://www.cryptocom.ru/demo/pkgs/cryptopack/windows.zip);
  2. Экспортировать сертификат, полученный для установления защищенного соединения с ГИС ЖКХ, в формат pfx.
    Для этого можно использовать утилиты наподобие P12FromGostCSP;
  3. Из командой строки cmd (находясь в директории ...\cryptopack2\bin, созданной при установке МагПро Криптопакет) выполнить:
    openssl pkcs12 -in C:\test.pfx -out C:\test.key -nodes
    • где test.pfx файл, полученный в п.2;
  4. С помощью встроенной в Windows утилиты "Сертификаты" экспортировать сертификат,
    полученный для установления защищенного соединения с ГИС ЖКХ (без закрытого ключа) в формат DER;
  5. Из командой строки cmd (находясь в директории ...\cryptopack2\bin) запустить:
    openssl x509 -inform DER -outform PEM -in C:\test.cer -out C:\test.pem
    • где test.cer файл, полученный в п.4;
  6. Полученные в п.4 и п.6 файлы и файл CA-SIT.pem (поставляется с форматами взаимодействия) переместить в директорию ...\CryptoTunnel2\crypto\
  7. Внести изменения в конфигурационный файл "stunnel.conf":
    • для параметра cert указать значение в виде имени файла, полученного в п.6 (cert= ..\crypto\test.pem)
    • для параметра key указать значение в виде имени файла, полученного в п.4 (key= ..\crypto\test.key)
    • для параметра connect указать значение 217.107.108.156:10081 или 217.107.108.147:10081.
    • для параметра CAFile указать значение ..\crypto\CA-SIT.pem
  8. Проверить доступность порта 8080, запустив из командной строки cmd: netstat -an
  9. Запустить программу "stunnel.exe". В дальнейшем работа с сервером интеграции осуществлять по адресу:
    http://127.0.0.1:8080/<адресинтеграционногосервиса>.
И как сказал @pomatsuev
В личном кабинете НА СИТ делаешь заявку на ИС, Прикладываешь к ней сертификат, точно такой же, из которого получил test.pem/test.key
BUGBEAR
@iBUGBEAR
Oct 21 2016 08:29
Если нужна утилита P12FromGostCSP, можно взять тут:
http://rgho.st/6vbnrHP48
Дмитрий Кузнецов
@kekzik
Oct 21 2016 08:38
blob
спасибо, сейчас попробуем, а в личном кабинете у наc 3 сертификата
Дмитрий Кузнецов
@kekzik
Oct 21 2016 08:50
2016.10.21 09:57:26 LOG7[main]: FD=4 events=0x2001 revents=0x0
2016.10.21 09:57:26 LOG7[main]: FD=7 events=0x2001 revents=0x1
2016.10.21 09:57:26 LOG7[main]: Service [dom-gosuslugi-tunnel] accepted (FD=3) from 127.0.0.1:33212
2016.10.21 09:57:26 LOG7[2]: Service [dom-gosuslugi-tunnel] started
2016.10.21 09:57:26 LOG7[2]: Option TCP_NODELAY set on local socket
2016.10.21 09:57:26 LOG5[2]: Service [dom-gosuslugi-tunnel] accepted connection from 127.0.0.1:33212
2016.10.21 09:57:26 LOG6[2]: s_connect: connecting 217.107.108.156:10081
2016.10.21 09:57:26 LOG7[2]: s_connect: s_poll_wait 217.107.108.156:10081: waiting 10 seconds
2016.10.21 09:57:26 LOG5[2]: s_connect: connected 217.107.108.156:10081
2016.10.21 09:57:26 LOG5[2]: Service [dom-gosuslugi-tunnel] connected remote server from 137.74.167.135:59751
2016.10.21 09:57:26 LOG7[2]: Option TCP_NODELAY set on remote socket
2016.10.21 09:57:26 LOG7[2]: Remote descriptor (FD=9) initialized
2016.10.21 09:57:26 LOG6[2]: SNI: sending servername: 217.107.108.156
2016.10.21 09:57:26 LOG6[2]: Peer certificate required
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): before/connect initialization
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 write client hello A
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 read server hello A
2016.10.21 09:57:26 LOG7[2]: Verification started at depth=1: 1.2.643.100.1=#120D31303337373030303835343434, 1.2.643.3.131.1.1=#120C303037373137313037393931, street="ул. Сущёвский вал, д. 18", ST=77 г. Москва, L=Москва, emailAddress=info@cryptopro.ru, C=RU, O=ООО \"КРИПТО-ПРО\", CN=Тестовый УЦ ООО \"КРИПТО-ПРО\"
2016.10.21 09:57:26 LOG7[2]: CERT: Pre-verification succeeded
2016.10.21 09:57:26 LOG6[2]: Certificate accepted at depth=1: 1.2.643.100.1=#120D31303337373030303835343434, 1.2.643.3.131.1.1=#120C303037373137313037393931, street="ул. Сущёвский вал, д. 18", ST=77 г. Москва, L=Москва, emailAddress=info@cryptopro.ru, C=RU, O=ООО \"КРИПТО-ПРО\", CN=Тестовый УЦ ООО \"КРИПТО-ПРО\"
2016.10.21 09:57:26 LOG7[2]: Verification started at depth=0: CN=sit2.amazon-14.01.2016
2016.10.21 09:57:26 LOG7[2]: CERT: Pre-verification succeeded
2016.10.21 09:57:26 LOG5[2]: Certificate accepted at depth=0: CN=sit2.amazon-14.01.2016
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 read server certificate A
2016.10.21 09:57:26 LOG6[2]: Empty client CA list
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 read server certificate request A
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 read server done A
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 write client certificate A
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 write client key exchange A
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 write change cipher spec A
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 write finished A
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 flush data
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 read server session ticket A
2016.10.21 09:57:26 LOG7[2]: SSL state (connect): SSLv3 read finished A
2016.10.21 09:57:26 LOG7[2]: 3 client connect(s) requested
2016.10.21 09:57:26 LOG7[2]: 3 client connect(s) succeeded
2016.10.21 09:57:26 LOG7[2]: 0 client renegotiation(s) requested
2016.10.21 09:57:26 LOG7[2]: 1 session reuse(s)
2016.10.21 09:57:26 LOG6[2]: SSL connected: new session negotiated
2016.10.21 09:57:26 LOG7[2]: Deallocating application specific data for addr index
2016.10.21 09:57:26 LOG6[2]: Negotiated TLSv1 ciphersuite GOST2001-GOST89-GOST89 (256-bit encryption)
2016.10.21 09:57:26 LOG7[2]: Compression: null, expansion: null
2016.10.21 09:57:26 LOG6[2]: Read socket closed (readsocket)
2016.10.21 09:57:26 LOG7[2]: Sending close_notify alert
2016.10.21 09:57:26 LOG7[2]: SSL alert (write): warning: close notify
2016.10.21 09:57:26 LOG6[2]: SSL_shutdown successfully sent close_notify alert
2016.10.21 09:57:26 LOG6[2]: SSL socket closed (SSL_read)
2016.10.21 09:57:26 LOG7[2]: Sent socket write shutdown
2016.10.21 09:57:26 LOG5
вот еще логи из тунеля
Дмитрий Кузнецов
@kekzik
Oct 21 2016 10:31
у меня подозрение на Empty client CA list
YuriyProg
@YuriyProg
Oct 21 2016 12:19
к какому серверу соединяешься?
Дмитрий Кузнецов
@kekzik
Oct 21 2016 12:19
сит2
YuriyProg
@YuriyProg
Oct 21 2016 12:21
это 157 который?
вернее 156
Дмитрий Кузнецов
@kekzik
Oct 21 2016 12:28
156
YuriyProg
@YuriyProg
Oct 21 2016 12:34
что то у меня то жене коннектится.
502 Bad GateWay
Pavel Druzhinin
@pavelDruzhinin
Oct 21 2016 16:11

Уважаемый пользователь!

Уведомляем о том, что в открытой части портала ГИС ЖКХ в разделе "Регламенты и инструкции" выложена документация с перспективными форматами обмена версии 10.0.2.10.
Примечание: новую версию получили только документы, в которых были выполнены изменения.

С уважением,
Служба технической поддержки
ГИС ЖКХ