These are chat archives for springjazzy/GIS_JKH_Integration

20th
Sep 2017
CCAlek
@CCAlek
Sep 20 2017 01:00
С выходом обновления Системы ГИС ЖКХ 11.4.0 процедура квитирования не изменилась, то есть, квитирование платежей с платёжными документами по прежнему необходимо, если оно не произошло автоматически. Напоминаем Вам, что квитирование происходит автоматически в том случае, если поступает оплата, равная сумме начислений платёжного документа.
Natali
@kadykovanp_twitter
Sep 20 2017 01:50
привет. потыкала я еще пд. он не суммирует предыдущие пд. он что то странное делает при редактировании пд с суммой к оплате.
mkpmkp
@mkpmkp
Sep 20 2017 02:07
Сегодня 19 сентября 2017 года с 20:00 до 02:00 20 сентября на инфраструктуре ГИС ЖКХ будут проводиться регламентные работы с целью реорганизации дискового пространства на серверах баз данных.....
Это типа они не пользуются системами хранения???
Это возможно???
Natali
@kadykovanp_twitter
Sep 20 2017 02:15
потыкала пд под ук. там все норм. ничо не суммируется по предыдушим и криво не суммируется. вот козлы. ну нельзя что ли все нормально сделать для всех
Anton
@dudarkoas
Sep 20 2017 02:16
@kadykovanp_twitter этим другой чеовек/отделш занимается )
Natali
@kadykovanp_twitter
Sep 20 2017 02:18
@dudarkoas по моему этим никто не занимается))) нас просто динамят
Anton
@dudarkoas
Sep 20 2017 02:19
@kadykovanp_twitter я про "нельзя что ли все нормально сделать для всех", предполагаю, что разные сервисы пилят разные люди и друг с другом общаются мало )
особенно это касается ЛК/SOAP
вот что выходит в лк
Natali
@kadykovanp_twitter
Sep 20 2017 02:22
@dudarkoas да не. там суть в том что им кап ремонт побоку. это один сервис в апи. и в лк один интерфейс. просто они сделали все криво как обычно
мы прост зашли посмотреть пд. и нашли три ошибки. куда их тестировщики смотрят(((
CCAlek
@CCAlek
Sep 20 2017 02:25
@kadykovanp_twitter напишите в техподдержку ГИС ЖКХ, либо минстрой или минсвязи.
Может если все об этом будут писать все нормально сделают
хотя вряд ли
Natali
@kadykovanp_twitter
Sep 20 2017 02:27
@CCAlek я уже куда тока не пишу))) толку тока нет особо
CCAlek
@CCAlek
Sep 20 2017 02:39
@kadykovanp_twitter у нас также
mkpmkp
@mkpmkp
Sep 20 2017 02:47
Я писал жалобу на http://minsvyaz.ru/ru/appeals/form/
Прислали что жалоба принята + ЭЦП подпись + входящий номер
в электрическом виде
скан в ПДФ
Natali
@kadykovanp_twitter
Sep 20 2017 02:50
@dudarkoas на счет разных команд разработки у них. по моему разные методы в soap-е пилят разные команды, не разговаривающие друг с другом. некоторые координально отличаются по подходу к реализации
mkpmkp
@mkpmkp
Sep 20 2017 02:53
image.png
Natali
@kadykovanp_twitter
Sep 20 2017 02:56
о да. мне тоже на какое то обращение ответили что писать надо в почту. руки вот еще не дошли разобраться как туда написать))
Anton
@dudarkoas
Sep 20 2017 03:18
шаблон жи есть )
вон так как минсвязь нарисовало, так и надо, ток подписаться не минсвязью, а собой
и можно еще заказынм с уведомлением послать )
через почту на почту )
Natali
@kadykovanp_twitter
Sep 20 2017 03:51
и сто лет ждать ответа. ну нет
mkpmkp
@mkpmkp
Sep 20 2017 04:10
@kadykovanp_twitter не жди - пиши
Ivan
@Ps1hy_twitter
Sep 20 2017 05:07
Утречка всем
CCAlek
@CCAlek
Sep 20 2017 05:16
@Ps1hy_twitter у меня обед закончился
Ivan
@Ps1hy_twitter
Sep 20 2017 05:43
@CCAlek можно обедать и утром)
Vershinin Sergey
@versh23
Sep 20 2017 05:50

The remote server returned an unexpected response: (502) Bad Gateway.

у всех так?

CCAlek
@CCAlek
Sep 20 2017 05:54
@versh23 нет, у меня запрос стоит с утра в статусе 2
БДИ!
@c0ntr0ller_twitter
Sep 20 2017 06:31
@versh23 у меня вчера так весь день было...
Roman Trufanov
@T4R2S
Sep 20 2017 06:38
Народ у вас получение ЛСов нормально работает?
А то делаю запрос и получаю, что нет объектов для экспорта, хотя они есть (я их сам же до этого выгружал и все работало)
CCAlek
@CCAlek
Sep 20 2017 06:42
@T4R2S попробуй разными гуидами, которые есть в ГИС ЖКХ
@T4R2S а так у наших УК несколько раз исчезали ЛС в ГИС ЖКХ
ndbn
@ndbn
Sep 20 2017 06:44
Ставлю на то, что нужно написать в поддержку и починят)
CCAlek
@CCAlek
Sep 20 2017 06:44
сначала года всего исчезло где то 9 домов
Ivan
@Ps1hy_twitter
Sep 20 2017 08:37
наша песня хороша, начинай сначала.. призываю @doazet как гуру делфей, и остальных как гуру stunnel.
doazet
@doazet
Sep 20 2017 08:38
что хочешь?
Ivan
@Ps1hy_twitter
Sep 20 2017 08:38
эта собака сбрасывает соеденение:2017.09.20 11:34:11 LOG7[3]: Service [m_https] started
2017.09.20 11:34:11 LOG7[3]: Option TCP_NODELAY set on local socket
2017.09.20 11:34:11 LOG5[3]: Service [m_https] accepted connection from 127.0.0.1:55132
2017.09.20 11:34:11 LOG6[3]: s_connect: connecting 217.107.108.147:10081
2017.09.20 11:34:11 LOG7[3]: s_connect: s_poll_wait 217.107.108.147:10081: waiting 10 seconds
2017.09.20 11:34:12 LOG3[3]: s_connect: connect 217.107.108.147:10081: Connection refused (WSAECONNREFUSED) (10061)
2017.09.20 11:34:12 LOG3[3]: No more addresses to connect
2017.09.20 11:34:12 LOG5[3]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.20 11:34:12 LOG7[3]: Local descriptor (FD=312) closed
2017.09.20 11:34:12 LOG7[3]: Service [m_https] finished (0 left)
2017.09.20 11:34:48 LOG6[cron]: Executing cron jobs
2017.09.20 11:34:48 LOG6[cron]: Cron jobs completed in 0 seconds
2017.09.20 11:34:48 LOG7[cron]: Waiting 86400 seconds
работаю на тестовом сертификате, его зарегал вместе с ИС на тестовом стенде
@doazet пытаюсь отправить запрос soap, вместо ошибки мне возвращает "сброшено подключение к серверу"

конфиг по мануалу криптопро: output=C:\stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

debug = 7

[m_https]
client = yes
accept = 127.0.0.1:8080
connect = 217.107.108.147:10081
cert = C:\1\2009.cer
verify = 2

порт 8080 открыт точно, серт привязан к ИС точно, basic авторизацию мы разобрали еще в прошлый раз в rio.httpwebnode установил логин и пароль
Ivan
@Ps1hy_twitter
Sep 20 2017 08:46
чет я психанул, простите)
ndbn
@ndbn
Sep 20 2017 08:56
verify = 0, не?
Ivan
@Ps1hy_twitter
Sep 20 2017 08:57
@ndbn пардон, это последний вариант с verify = 2 таже ошибк
с 0 тоже
verify вроде отвечает за использование серта, а серт получен по инструкции
ndbn
@ndbn
Sep 20 2017 08:59
@Ps1hy_twitter телнет проходит?
telnet 217.107.108.147 10081

@ndbn verify вроде отвечает за использование серта, а серт получен по инструкции

на сколько помню там всё равно проблемы у туннеля бывают

Ivan
@Ps1hy_twitter
Sep 20 2017 09:03
@ndbn эм нет, не проходит. у нас циско стоит, она блочит?
Anton
@dudarkoas
Sep 20 2017 09:03
порты проверяй
Ivan
@Ps1hy_twitter
Sep 20 2017 09:05
netstat не показывает что порт занят. Админ божится что открыл 8080
ndbn
@ndbn
Sep 20 2017 09:05
@Ps1hy_twitter наверное, 8080 это порт который stunnel слушает локально на твоей тачке, открывать надо 10081 (и 10082)
делфи коннектится к тунелю на 8080, а он на сервер гиса на порт 10081
Ivan
@Ps1hy_twitter
Sep 20 2017 09:09
@ndbn выходит stunnel слушает 8080, чтобы делфи отправила данные, а 10081 нужен чтобы отправлять данные на сервер гис?
или 10081 нужен чтобы слушать ответы от Гиса?
ndbn
@ndbn
Sep 20 2017 09:11
да, 10081 нужен и для отправки идля приема данных
хотя там вроде есть момент что вида открывает на вход другой порт автоматически, 50000 какие-то, но я не помню как это работает точно, пока можно не заморачиваться думаю. Попроси лучше админа открыть все порты на все сервера ГИСа , как входящие так и исходящие
ndbn
@ndbn
Sep 20 2017 09:26
винда*
Ivan
@Ps1hy_twitter
Sep 20 2017 09:41
Service [m_https] accepted (FD=172) from 127.0.0.1:55304 вот нашел кикието
нас просто давеча ломанули знатно и БД потерли, и теперь руководство брызжет пеной и кричит про безопасность
я 8080 писал 3 служебки чтобы открыли(
mkpmkp
@mkpmkp
Sep 20 2017 09:44
Народ! Из файловый сервис на ППАКе воз дед?
ndbn
@ndbn
Sep 20 2017 09:44
У тестовых серверов ГИСа IP двольно долго не меняется, проси все соединения с ними
doazet
@doazet
Sep 20 2017 09:48
блджад, с каких пор способ определения объема стало необходимо ставить?
ndbn
@ndbn
Sep 20 2017 09:48
@Ps1hy_twitter в принципе есть вероятность что 5** - порты, это локальные, т.е. открывать их не нужно, в любом случае для начала проси 10081 (10082, 80 и 443 до кучи)
Ivan
@Ps1hy_twitter
Sep 20 2017 09:50
@doazet для комм услуг еще в мае вроде было введено
ndbn
@ndbn
Sep 20 2017 09:50
importHouseUOData , жалуется на часовую зону, что я делаю не так? (картинка)
doazet
@doazet
Sep 20 2017 09:50
@Ps1hy_twitter неть
ndbn
@ndbn
Sep 20 2017 09:50
importHouseUOData.png
doazet
@doazet
Sep 20 2017 09:51
@ndbn гуид поди не тот
давно справочники обновлял? лень проверять >_<
Ivan
@Ps1hy_twitter
Sep 20 2017 09:51
ну может не в мае, но мы для сод жилья убирали объем, когда exceleм грузили
ndbn
@ndbn
Sep 20 2017 09:51
@doazet свежий , и сам получал и тут смотрел http://demo.open-gkh.ru/nsi-item/31
doazet
@doazet
Sep 20 2017 09:52
@Ps1hy_twitter блядь, я про способ определения: прибор учета или норматив
с каких пор залупаться начало на его отсутствие?
Ivan
@Ps1hy_twitter
Sep 20 2017 09:53
тоже тяжелый день да?)
doazet
@doazet
Sep 20 2017 09:54
вообще ад -__-
Anton
@dudarkoas
Sep 20 2017 10:32
@doazet а другие бывают? )
Jaar Singleton
@qassarb
Sep 20 2017 10:33

@Ps1hy_twitter Тестовые стенда ГИС принимают входящие соединения на порту 10081 (httpS) и на порту 10082(http)
Stunnel отвечает за шифроканал и поэтому в его конфиге указан порт 10081.
На 10082 можешь заходить напрямую без туннеля с Basic-авторизацией.

Теперь по поводу Stunnel
По сути это просто проброс порта с организацией криптотуннеля.
Таким образом, если ты запускаешь стуннель на своей машине, которая сидит за файрволлом, то достаточно открыть 10081 (вебсервис) и 443 для хендшейка, хотя его должен и 10081 обработать.
10082 тоже открывай, чтобы напрямую зайти в ГИС.

Порт 8080 открывается на твоей локальной машине, таким образом, когда ты обращаешься к localhost:8080 твой трафик транзитится в 217.107.108.147:10081.
По поводу verify=2 - я ставлю 0, но для того чтоб 2 работало необходимо добавить серты ГИСовских СИТ-ов в локальное хранилище.

Ivan
@Ps1hy_twitter
Sep 20 2017 10:38
@qassarb угу, интересно. пока я жду когда порты откроют, почитаю о сертификатах) что самое занятное в инструкции гиса есть сертификаты pem и key, а судя по инструкции криты - достаточно одного cer
Anton
@dudarkoas
Sep 20 2017 10:42
@Ps1hy_twitter в инструкции только pem
Ivan
@Ps1hy_twitter
Sep 20 2017 10:43
@dudarkoas - для параметра key указать значение в виде имени файла, полученного в п.4 (key= ..\crypto\test.key) (c)
Anton
@dudarkoas
Sep 20 2017 10:43
b&
и?
это не меняет того факта, что в доке они прикладывают только pem файлы
Ivan
@Ps1hy_twitter
Sep 20 2017 10:46
@dudarkoas =_= как я понимаю CAFile они прикладывают, который pem. И по инструкции через openssl просят сделать pem для параметра cert и key для параметра key. вот мне и интересно куда они деваются для криптопро
ndbn
@ndbn
Sep 20 2017 10:48
@Ps1hy_twitter почитай всё-же про сертификаты)
ассиметричное шифрование, открытый и закрытый ключ, вот это всё
TallaXL
@TallaXL
Sep 20 2017 10:51
Народ подскажите как отменить загруженный paymentDocumentData? В UI есть пункт отзыв на платеже, но в API ничего похожего нет.
Ivan
@Ps1hy_twitter
Sep 20 2017 10:51
@ndbn да у меня в голове смешалось все знатно(
Anton
@dudarkoas
Sep 20 2017 10:53
@TallaXL отзыв
withdraw
лучше поищи =)
ndbn
@ndbn
Sep 20 2017 10:54
@TallaXL
Безымянный.png
TallaXL
@TallaXL
Sep 20 2017 10:58
ахренеть
Ну кто так строит!
ndbn
@ndbn
Sep 20 2017 11:03
Если я JIRA нажимал на старом запросе кнопку "Наблюдать", где там теперь найти этот запрос?
MaDMaX1-0
@MaDMaX1-0
Sep 20 2017 11:10
image.png
@ndbn во вкладке "Профиль"
ndbn
@ndbn
Sep 20 2017 11:13
@MaDMaX1-0 Спасибо
ndbn
@ndbn
Sep 20 2017 12:12
вот не заметил, для часовой зоны надо брать значение из 32 справочника, а не 31
Ivan
@Ps1hy_twitter
Sep 20 2017 12:21
соскучились по мне?)
Ivan
@Ps1hy_twitter
Sep 20 2017 12:26
Peer certificate required (c) подразумевает, что у меня должен быть установлен SA-SIT.pem в хранилище?
ndbn
@ndbn
Sep 20 2017 12:34
с verify=0 попробуй
Ivan
@Ps1hy_twitter
Sep 20 2017 12:35
@ndbn я то пробую, но делфак все равно долбится в сервер сбросил соеденение
ndbn
@ndbn
Sep 20 2017 12:35
С 2, возможно, требуется проверка сертификата, а это подключение на другие сервера и хз какие порты :)
Ivan
@Ps1hy_twitter
Sep 20 2017 12:36
217.107.108.147:10081 я сюда долблюсь
ndbn
@ndbn
Sep 20 2017 12:37
ну это СИТ1
Ivan
@Ps1hy_twitter
Sep 20 2017 12:38
на нем же есть ext-bus-payment-service/services/PaymentAsync?
по инструкции должен быть)
ndbn
@ndbn
Sep 20 2017 12:39
ага
Ivan
@Ps1hy_twitter
Sep 20 2017 12:39
я пытаюсь сделать getstate для несуществующего документа: поидее он должен вернуть мне какой то ответ с ошибкой?
ndbn
@ndbn
Sep 20 2017 12:40
у тебя должно установиться защищённое соединение прежде чем пойдут данные
И похоже, что оно не устанавливается
Ivan
@Ps1hy_twitter
Sep 20 2017 12:41
вот и я об этом думаю)
2017.09.20 15:37:53 LOG7[ui]: Running on Windows 6.1
2017.09.20 15:37:53 LOG7[ui]: No limit detected for the number of clients
2017.09.20 15:37:53 LOG5[ui]: stunnel 5.43 on x86-pc-msvc-1900 platform
2017.09.20 15:37:53 LOG5[ui]: Compiled/running with OpenSSL 1.0.2m-dev xx XXX xxxx
2017.09.20 15:37:53 LOG5[ui]: Threading:WIN32 Sockets:SELECT,IPv6 TLS:ENGINE,OCSP,PSK,SNI
2017.09.20 15:37:53 LOG7[ui]: errno: (*_errno())
2017.09.20 15:37:53 LOG7[ui]: Running on Windows 6.1
2017.09.20 15:37:53 LOG5[ui]: Reading configuration from file C:\2\stunnel\stunnel.cfg
2017.09.20 15:37:53 LOG5[ui]: UTF-8 byte order mark detected
2017.09.20 15:37:53 LOG7[ui]: Compression disabled
2017.09.20 15:37:53 LOG7[ui]: Snagged 64 random bytes from C:/.rnd
2017.09.20 15:37:53 LOG7[ui]: Wrote 1024 new random bytes to C:/.rnd
2017.09.20 15:37:53 LOG7[ui]: PRNG seeded successfully
2017.09.20 15:37:53 LOG6[ui]: Initializing service [m_https]
2017.09.20 15:37:53 LOG7[ui]: Ciphers: HIGH:!DH:!aNULL:!SSLv2
2017.09.20 15:37:53 LOG7[ui]: TLS options: 0x03000004 (+0x03000000, -0x00000000)
2017.09.20 15:37:53 LOG4[ui]: Service [m_https] needs authentication to prevent MITM attacks
2017.09.20 15:37:53 LOG5[ui]: Configuration successful
2017.09.20 15:37:53 LOG7[ui]: Listening file descriptor created (FD=160)
2017.09.20 15:37:53 LOG7[ui]: Option SO_EXCLUSIVEADDRUSE set on accept socket
2017.09.20 15:37:53 LOG7[ui]: Service [m_https] (FD=160) bound to 127.0.0.1:8080
2017.09.20 15:37:53 LOG7[cron]: Cron thread initialized
так у меня запускается Stunnel сейчас
меня смущает ciphers
и needs auth
ndbn
@ndbn
Sep 20 2017 12:42
ты тунель где взял?
отсюда
ndbn
@ndbn
Sep 20 2017 12:43
он как сервис в винде стоит?
Ivan
@Ps1hy_twitter
Sep 20 2017 12:43
сейчас нет, я его руками запускаю
но могу установить
это mssi кажется называется
ndbn
@ndbn
Sep 20 2017 12:44
ну попробуй сертификаты в хранилище винды поставить, я тут мало помогу т.к. не пользуюсь
Ivan
@Ps1hy_twitter
Sep 20 2017 12:44
а первый, у которого всего было 3 функции -install -remove и -degub вообще отказался запускаться
ndbn
@ndbn
Sep 20 2017 12:44
я качал какую-то их версию, она требовала себя как сервис и чтобы она лежала в папке с виндой или её конфиг
Ivan
@Ps1hy_twitter
Sep 20 2017 12:45
@ndbn ну вот я утром взял тестовый серт у криптопро поставил его в хралище компа
ndbn
@ndbn
Sep 20 2017 12:46
а в личном кабинете на СИТ ты вообще регистрировал ИС?
загружая туда сертификат
Ivan
@Ps1hy_twitter
Sep 20 2017 12:46
@ndbn я нет. Там уже была ИС, и я подлил новый серт
и получил guid
ndbn
@ndbn
Sep 20 2017 12:48

@ndbn ну вот я утром взял тестовый серт у криптопро поставил его в хралище компа

закрытая часть поставилась в реестр?

должно было вылезти окно КриптоПРО дял выбора хранилища, там надо выбрать Registry типа
мышкой поводить ещё для генератора случайных чисел
Ivan
@Ps1hy_twitter
Sep 20 2017 12:49
@ndbn да, все поставилось цепочка отражается правильно
ndbn
@ndbn
Sep 20 2017 12:49
потом ты его из хранилища компа должен был выгрузить как 2009.cer без закрытого ключа
Ivan
@Ps1hy_twitter
Sep 20 2017 12:49
@ndbn да, все верно
@ndbn сейчас у меня есть набор файлов из инструкции "порядок проведения тестирования" пункт 3
ndbn
@ndbn
Sep 20 2017 12:50
а когда пытаешься запрос отправить в логе stunnel что?
не при запуске, а при запросе
Ivan
@Ps1hy_twitter
Sep 20 2017 12:51
я понял, сейчас я почищу лог и сделаю заново запрос
2017.09.20 15:49:00 LOG7[ui]: Found 1 ready file descriptor(s)
2017.09.20 15:49:00 LOG7[ui]: FD=160 ifds=r-x ofds=r--
2017.09.20 15:49:00 LOG7[ui]: Service [m_https] accepted (FD=176) from 127.0.0.1:58126
2017.09.20 15:49:00 LOG7[ui]: Creating a new thread
2017.09.20 15:49:00 LOG7[ui]: New thread created
2017.09.20 15:49:00 LOG7[0]: Service [m_https] started
2017.09.20 15:49:00 LOG7[0]: Option TCP_NODELAY set on local socket
2017.09.20 15:49:00 LOG5[0]: Service [m_https] accepted connection from 127.0.0.1:58126
2017.09.20 15:49:00 LOG6[0]: s_connect: connecting 217.107.108.147:10081
2017.09.20 15:49:00 LOG7[0]: s_connect: s_poll_wait 217.107.108.147:10081: waiting 10 seconds
2017.09.20 15:49:00 LOG5[0]: s_connect: connected 217.107.108.147:10081
2017.09.20 15:49:00 LOG5[0]: Service [m_https] connected remote server from 10.0.0.245:58127
2017.09.20 15:49:00 LOG7[0]: Option TCP_NODELAY set on remote socket
2017.09.20 15:49:00 LOG7[0]: Remote descriptor (FD=316) initialized
2017.09.20 15:49:00 LOG6[0]: SNI: sending servername: 217.107.108.147
2017.09.20 15:49:00 LOG6[0]: msspi: try open cert = "C:\1\2009.cer" as file
2017.09.20 15:49:00 LOG6[0]: Peer certificate not required
2017.09.20 15:49:00 LOG3[0]: SSL_connect: Peer suddenly disconnected
2017.09.20 15:49:00 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.20 15:49:00 LOG7[0]: Remote descriptor (FD=316) closed
2017.09.20 15:49:00 LOG7[0]: Local descriptor (FD=176) closed
2017.09.20 15:49:00 LOG7[0]: Service [m_https] finished (0 left)
verify = 0 в конфиге
ndbn
@ndbn
Sep 20 2017 12:53
client = yes попробуй в конфиге убрать или на client = no поменять
лучше убери
Ivan
@Ps1hy_twitter
Sep 20 2017 12:54
@ndbn посыпалось все подряд
image.png
ndbn
@ndbn
Sep 20 2017 12:55
ну запрос делай
Ivan
@Ps1hy_twitter
Sep 20 2017 12:56
2017.09.20 15:53:01 LOG7[ui]: Found 1 ready file descriptor(s)
2017.09.20 15:53:01 LOG7[ui]: FD=160 ifds=r-x ofds=r--
2017.09.20 15:53:01 LOG7[ui]: Service [m_https] accepted (FD=228) from 127.0.0.1:58152
2017.09.20 15:53:01 LOG7[ui]: Creating a new thread
2017.09.20 15:53:01 LOG7[ui]: New thread created
2017.09.20 15:53:01 LOG7[0]: Service [m_https] started
2017.09.20 15:53:01 LOG7[0]: Option TCP_NODELAY set on local socket
2017.09.20 15:53:01 LOG5[0]: Service [m_https] accepted connection from 127.0.0.1:58152
2017.09.20 15:53:01 LOG6[0]: msspi: try open cert = "C:\1\2009.cer" as file
2017.09.20 15:53:01 LOG6[0]: Peer certificate not required
2017.09.20 15:53:01 LOG3[0]: SSL_accept: Peer suddenly disconnected
2017.09.20 15:53:01 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.20 15:53:01 LOG7[0]: Local descriptor (FD=228) closed
2017.09.20 15:53:01 LOG7[0]: Service [m_https] finished (0 left)
ndbn
@ndbn
Sep 20 2017 12:57
Как он узнал про CACert если в конфиге нет?
на скриншоте видно
вообще это самое
Пропиши себе в hosts файл:
217.107.108.147 sit01 sit01.dom.test.gosuslugi.ru api.sit01.dom.test.gosuslugi.ru lk.sit01.dom.test.gosuslugi.ru my.sit01.dom.test.gosuslugi.ru
217.107.108.156 sit02 sit02.dom.test.gosuslugi.ru api.sit02.dom.test.gosuslugi.ru lk.sit02.dom.test.gosuslugi.ru my.sit02.dom.test.gosuslugi.ru
и попробуй в internetExplorer зайти на http://sit01/
Вроде будут проверять сертификат
Ivan
@Ps1hy_twitter
Sep 20 2017 13:03
неа, просто попросил логин и пароль
ndbn
@ndbn
Sep 20 2017 13:04
Логин: sit
Пароль: xw{p&&Ee3b9r8?amJv*]
Ivan
@Ps1hy_twitter
Sep 20 2017 13:04
да, я в курсе
ndbn
@ndbn
Sep 20 2017 13:04
ну ладно, я наверное путаю, не помню где там сертификат надо выбрать
покажи весь конфиг
Ivan
@Ps1hy_twitter
Sep 20 2017 13:04

output=C:\stunnel.log
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
CAfile = C:\1\CA-SIT.pem

debug = 7

[m_https]
accept = 127.0.0.1:8080
connect = 217.107.108.147:10081
cert = C:\1\2009_2.cer

verify = 0

ndbn
@ndbn
Sep 20 2017 13:06
Если это тот stunnel по ссылке надо указать ещё
msspi = 1
(в начале, как я понял)
и
При наличии ПИН-кода на закрытый ключ, может быть использован параметр pin (НЕ РЕКОМЕНДУЕТСЯ). Например, pin = 12345678 .
это пароль на контейнер кажется
хотя пароль наверное запросится

хотя
"stunnel-msspi uses msspi = 1 in your configuration by default"

может и не поможет....

Ivan
@Ps1hy_twitter
Sep 20 2017 13:08
pin это на контейнер, но я сейчас работаю без токена
сразу в реестр писал
и аргумент msspi сейчас yes или no
ndbn
@ndbn
Sep 20 2017 13:09
= 1
наверное одинаково работает
Ivan
@Ps1hy_twitter
Sep 20 2017 13:10
неа, выбивает ошибку при загрузке конфига с 1 или 0, yes или no просит)
на yes - ничего не меняется в логе при запросе, как было так и осталось
ndbn
@ndbn
Sep 20 2017 13:11
а msspi ты вообще компилил?
Ivan
@Ps1hy_twitter
Sep 20 2017 13:12
вот тут нет
ndbn
@ndbn
Sep 20 2017 13:12
я так понял вся фишка этой версии в нём)
Ivan
@Ps1hy_twitter
Sep 20 2017 13:12
я как понял любой stunnel надо перекомпиливать с патчем
но, вот от криптопро в инструкции ничего не указано было
ни engine ни chiphres
ndbn
@ndbn
Sep 20 2017 13:13
А, или он вкомпилет внутрь
да они так описывают, чтобы у них купили поддержку платную
работать нужно так, чтобы все жаловались на работу
да. msspi вкомпилен внутрь, я думал там dll
тоже наверное стоит поставить
Ivan
@Ps1hy_twitter
Sep 20 2017 13:17
стоит l от 25 мая
ndbn
@ndbn
Sep 20 2017 13:19
Судя по логу sspi начинает работу. А если сертификат в хранилище windows открыть, там нет красных крестов?
Ivan
@Ps1hy_twitter
Sep 20 2017 13:20
@ndbn ни 1)
все цепочки верны
ndbn
@ndbn
Sep 20 2017 13:21
Ещё посмотри в настрйоках КриптоПРО CSP, вкладка Настройки TLS, стоят ли галочки "не проверять серт. сервера на отзыв", "не проверять серт. клиента на отзыв"
Больше мыслей нет
image.png
Ivan
@Ps1hy_twitter
Sep 20 2017 13:22
тут только галочка на "не использовать устаревшие ciphers"
ndbn
@ndbn
Sep 20 2017 13:22
попробуй выставить и перезапустить тунель
ну и запрос сделать
Ivan
@Ps1hy_twitter
Sep 20 2017 13:23
ничего не поменялось, попробую комп перезапустить
Ivan
@Ps1hy_twitter
Sep 20 2017 13:33
и снова нет(
может место проклятое?)
ndbn
@ndbn
Sep 20 2017 13:38
verify = 0 должно быть вверху файла, вот ещё попробуй
Ivan
@Ps1hy_twitter
Sep 20 2017 13:39
2017.09.20 16:35:45 LOG7[ui]: Running on Windows 6.1
2017.09.20 16:35:45 LOG7[ui]: No limit detected for the number of clients
2017.09.20 16:35:45 LOG5[ui]: stunnel 5.43 on x86-pc-msvc-1900 platform
2017.09.20 16:35:45 LOG5[ui]: Compiled/running with OpenSSL 1.0.2m-dev xx XXX xxxx
2017.09.20 16:35:45 LOG5[ui]: Threading:WIN32 Sockets:SELECT,IPv6 TLS:ENGINE,OCSP,PSK,SNI
2017.09.20 16:35:45 LOG7[ui]: errno: (*_errno())
2017.09.20 16:35:45 LOG7[ui]: Running on Windows 6.1
2017.09.20 16:35:45 LOG5[ui]: Reading configuration from file C:\2\stunnel\stunnel.cfg
2017.09.20 16:35:45 LOG5[ui]: UTF-8 byte order mark detected
2017.09.20 16:35:45 LOG7[ui]: Compression disabled
2017.09.20 16:35:45 LOG7[ui]: Snagged 64 random bytes from C:/.rnd
2017.09.20 16:35:45 LOG7[ui]: Wrote 1024 new random bytes to C:/.rnd
2017.09.20 16:35:45 LOG7[ui]: PRNG seeded successfully
2017.09.20 16:35:45 LOG6[ui]: Initializing service [m_https]
2017.09.20 16:35:45 LOG7[ui]: Ciphers: HIGH:!DH:!aNULL:!SSLv2
2017.09.20 16:35:45 LOG7[ui]: TLS options: 0x03004004 (+0x03004000, -0x00000000)
2017.09.20 16:35:45 LOG7[ui]: Client CA list: C:\1\CA-SIT.pem
2017.09.20 16:35:45 LOG6[ui]: Client CA: emailAddress=support@cryptopro.ru, C=RU, L=Moscow, O=CRYPTO-PRO LLC, CN=CRYPTO-PRO Test Center 2
2017.09.20 16:35:45 LOG6[ui]: Client CA: 1.2.643.100.1=1037700085444, 1.2.643.3.131.1.1=007717107991, street="ул. Сущёвский вал, д. 18", ST=77 г. Москва, L=Москва, emailAddress=info@cryptopro.ru, C=RU, O=ООО \"КРИПТО-ПРО\", CN=Тестовый УЦ ООО \"КРИПТО-ПРО\"
2017.09.20 16:35:45 LOG7[ui]: ECDH initialization
2017.09.20 16:35:45 LOG7[ui]: ECDH initialized with curve prime256v1
2017.09.20 16:35:45 LOG5[ui]: Configuration successful
2017.09.20 16:35:45 LOG7[ui]: Listening file descriptor created (FD=160)
2017.09.20 16:35:45 LOG7[ui]: Option SO_EXCLUSIVEADDRUSE set on accept socket
2017.09.20 16:35:45 LOG7[ui]: Service [m_https] (FD=160) bound to 127.0.0.1:8080
2017.09.20 16:35:45 LOG7[cron]: Cron thread initialized
2017.09.20 16:36:00 LOG7[ui]: Found 1 ready file descriptor(s)
2017.09.20 16:36:00 LOG7[ui]: FD=160 ifds=r-x ofds=r--
2017.09.20 16:36:00 LOG7[ui]: Service [m_https] accepted (FD=172) from 127.0.0.1:49913
2017.09.20 16:36:00 LOG7[ui]: Creating a new thread
2017.09.20 16:36:00 LOG7[ui]: New thread created
2017.09.20 16:36:00 LOG7[0]: Service [m_https] started
2017.09.20 16:36:00 LOG7[0]: Option TCP_NODELAY set on local socket
2017.09.20 16:36:00 LOG5[0]: Service [m_https] accepted connection from 127.0.0.1:49913
2017.09.20 16:36:00 LOG6[0]: msspi: try open cert = "C:\1\2009.cer" as file
2017.09.20 16:36:00 LOG6[0]: Peer certificate not required
2017.09.20 16:36:00 LOG3[0]: SSL_accept: Peer suddenly disconnected
2017.09.20 16:36:00 LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2017.09.20 16:36:00 LOG7[0]: Local descriptor (FD=172) closed
2017.09.20 16:36:00 LOG7[0]: Service [m_https] finished (0 left)
как видимо нет
ndbn
@ndbn
Sep 20 2017 13:42
socket = r:TCP_NODELAY=1 убери
но это не панацея
One option might be to turn on the TCP NODELAY option on both ends. On the server, include the following options: socket = l:TCP_NODELAY=1 and on the client include: socket = r:TCP_NODELAY=1
Ivan
@Ps1hy_twitter
Sep 20 2017 13:43
может дело в открытии порта 499338?
ndbn
@ndbn
Sep 20 2017 13:44
"accepted connection" вроде соединение происходит
но этот порт рандомно выбирается каждый раз
ну пни админа, пусть всё откроет с этим IP, может и оно
Ivan
@Ps1hy_twitter
Sep 20 2017 13:46
да я уже писал, у меня на работе траблы с открытием портов
ну если сервер сбрасывает соединение может быть 2 варианта (кроме криворукого ивана): не прохожу аутентификацию при установке криптотунеля и не прохожу по сертификату
ndbn
@ndbn
Sep 20 2017 13:49
а уточнить это можно без ограничений по портам
Ivan
@Ps1hy_twitter
Sep 20 2017 13:51
при запущенном Stunnel я вижу netstatom что порт 8080 слушается
image.png
telnet даже получает ответ
может мне CA-SIT нужно зарегать в сертификатах? только вот где
я попробовал в доверенные поставщики - ничего не поменялось
ndbn
@ndbn
Sep 20 2017 13:57
verify=0 по идее делает это не нужным
Ivan
@Ps1hy_twitter
Sep 20 2017 13:58
если пробую как в инструкции гиса вываливаются ошибки x509
ndbn
@ndbn
Sep 20 2017 13:58
у меня в доверенных корневых центрах лежат
x509 - не подхватился алгоритм ГОСТ
А вот момент
Зайди в свой тестовый сертификат, там вкладка Путь, тем есть самый первый от Тестового центра, вот его в доверенные корневые помести
Ivan
@Ps1hy_twitter
Sep 20 2017 14:00
поместил, и пользователя и компьютера
еще утром)
все норм установлено
image.png
ndbn
@ndbn
Sep 20 2017 14:02
Тогда всё
ищи способ проверить без ограничений по портам
Ivan
@Ps1hy_twitter
Sep 20 2017 14:02
загадка достойная шерлока холмса))
ndbn
@ndbn
Sep 20 2017 14:03
С нашими технологиями не знаешь, что-где может быть
Ivan
@Ps1hy_twitter
Sep 20 2017 14:04
2017.09.20 17:01:34 LOG6[3]: msspi: try open cert = "C:\1\2009_out.pem" as file мне кажется тут ломается
я ему уже все подряд подсовываю
ndbn
@ndbn
Sep 20 2017 14:05
Защищённый этот токен9флешка) с закрытым ключем, с классом защиты КС какой то, что нельзя скопировать, прекрасно копируется на виртуальный флоппи
ну я там видел где то что можно указать отпечаток сертификата, попробуй из сертификата вставить отпечаток вместо пути к файлу
Ivan
@Ps1hy_twitter
Sep 20 2017 14:09
результат тот же) но крутило дольше)
может не делфями запрос попробовать а soap ui?
LOG3[3]: msspi: set_mycert failed: "can not open file" (cert = "‎0a819ba2a40833a1fc0324da24edd024fe07e71a")
а нет
ndbn
@ndbn
Sep 20 2017 14:10
без кавычек наверное
Ivan
@Ps1hy_twitter
Sep 20 2017 14:10
да у меня он без кавычек записан
ndbn
@ndbn
Sep 20 2017 14:10
дело не в делфях я думаю
тогда что то не то
Ivan
@Ps1hy_twitter
Sep 20 2017 14:11
https://msdn.microsoft.com/ru-ru/library/ms734695(v=vs.110).aspx информацию по выдиранию отпечатка брал тут
ndbn
@ndbn
Sep 20 2017 14:12
верно
Ivan
@Ps1hy_twitter
Sep 20 2017 14:16
а вот еще шутейка от mssi пишу -install файл конфига : ошибка не могу найти файл конфига
а если просто вызываю stunnel файл конфига - он запускается)
а не это не интересно, они просто в хелпе их местами перепутали)
Ivan
@Ps1hy_twitter
Sep 20 2017 14:25
может protocolAuthentification попробовать?)
ndbn
@ndbn
Sep 20 2017 14:26
Если install ставит его как сервис, то файл конфига должен в папке толи Windows, толи Windows/System32 лежать
Ivan
@Ps1hy_twitter
Sep 20 2017 14:27
а еще как надо обозвать? conf? или cfg для msi?
Ivan
@Ps1hy_twitter
Sep 20 2017 14:34
в порядке бреда: через vpn тоже не работает)
ndbn
@ndbn
Sep 20 2017 14:40

а еще как надо обозвать? conf? или cfg для msi?

там это в документации к обычному их stunnel было

Ivan
@Ps1hy_twitter
Sep 20 2017 14:41
тогда конф) впрочем не обязательно в system можно в любой путь из переменной среды)
ndbn
@ndbn
Sep 20 2017 14:41
а это он и есть по твоей ссылке, его по ходу заменили
там была жёсткая зашивка
Ivan
@Ps1hy_twitter
Sep 20 2017 14:41
ну в любом случае он у меня не работал)
я еще вчера плакался)
ndbn
@ndbn
Sep 20 2017 14:42
2.5.Запись файла конфигурации
Файл конфигурации должен иметь имя stunnel.conf и должен быть записан в папку
windows\system32 на системном диске
Вот документация, я по ней в том году настраивал рабочий вариант
https://www.cryptopro.ru/sites/default/files/products/stunnel/userguidestunnel_windows.pdf
Ivan
@Ps1hy_twitter
Sep 20 2017 14:44
угу, я вчера пытался по ней)
Jaar Singleton
@qassarb
Sep 20 2017 15:59
@Ps1hy_twitter , чиркани в скайп qassar-b
Мне интересно стало, попробуем вместе разобраться.