Настройка stunnel из состава КриптоПро CSP версии 5.0.11455 и выше для взаимодействия с TSP-службами ЦБ РФ. Пример описан для ОС Windows 10.
Перед началом убедитесь, что лицензия на право использования КриптоПро CSP у Вас действующая. Stunnel устанавливать необходимо в соответствии с используемой версией КриптоПро CSP: https://www.cryptopro.ru/products/csp/downloads
1. Установить сертификат из контейнера в хранилище "Личное" текущего пользователя с привязкой к закрытому ключу: https://support.cryptopro.ru/index.php?/Knowledgebase/Article/View/259#1
2. Запустить приложение Инструменты КриптоПро, перейти в раздел "Сертификаты" - "Личное". Выбрать сертификат, внизу нажать Экспортировать сертификаты. Тип файла измените на "Сертификат Х.509 в DER (*.cer)", имя (для примера) user.cer Экспортируйте сертификат в папку C:\Stunnel (если другой путь, укажите в файле C:\Windows\system32\stunnel.conf , параметр cert=, см. п. 4)
3. Запустить текстовый редактор (например, Блокнот или Notepad++) от имени Администратора, открыть в нём файл C:\Windows\system32\drivers\etc\hosts Прописать в одну строку:
127.0.0.1 localhost tsp1.ca.cbr.ru tsp2.ca.cbr.ru
Сохранить.
4. Создать файл stunnel.conf с таким содержимым и переместить его в C:\Windows\system32 :
verify = 0
output = C:\Stunnel\stunnel_cli.log
service = Stunnel
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = 7
[tls1-client-https-1]
client = yes
accept = 127.0.0.1:10001
connect = tsp3.ca.cbr.ru:443
cert = C:\Stunnel\user.cer
[tls1-client-https-2]
client = yes
accept = 127.0.0.1:10002
connect = tsp4.ca.cbr.ru:443
cert = C:\Stunnel\user.cer
5. Запустить Службы Windows ( services.msc ) от имени Администратора.
Найти "Stunnel Service" в списке служб, двойным кликом открыть свойства, далее перейти на вкладку "Вход в систему", выбрать "С учётной записью", нажать Обзор... Выбрать логин учётной записи, для которой устанавлен сертификат в п.1 Подтвердить, ввести пароль (пустой может не принимать!), применить настройки.
6. Открыть хранилище "Сертификаты (локального компьютера)" - "Промежуточные центры сертификации" - "Реестр" - "Сертификаты", найти сертификат ЦБ РФ. ПКМ - "Свойства", перейти на вкладку "Протокол OCSP", добавить URL:
http://tsp1.ca.cbr.ru:10001/ocsp
http://tsp2.ca.cbr.ru:10002/ocsp
Применить.
7*. (необязательно, если выполнен п. 6) В gpedit.msc по пути: Конфигурация компьютера -> Административные шаблоны -> Классические административные шаблоны (ADM) -> КРИПТО-ПРО -> КриптоПро OCSP Client -> "Службы OCSP: адрес службы OCSP по умолчанию" включить политику, прописать один из двух адресов:
http://tsp1.ca.cbr.ru:10001/ocsp
http://tsp2.ca.cbr.ru:10002/ocsp
Далее применить политику (cmd от имени Администратора):
gpupdate /force
Убедиться, что политики успешно обновлены.
8*. Если прокси НЕ используете, то пропустить этот шаг и перейти к п. 9 Если в Вашей сети используется прокси-сервер и Вы указали настройки прокси в Свойствах обозревателя ( inetcpl.cpl ), то следует добавить служебные адреса ЦБ в исключения. В inetcpl.cpl - Подключения - Настройки сети - внизу "Дополнительно" - прописать в исключения все адреса через точку с запятой:
tsp1.ca.cbr.ru;tsp2.ca.cbr.ru;tsp3.ca.cbr.ru;tsp4.ca.cbr.ru
Применить.
9. Запустить службу Stunnel Service (если запущена, то перезапустить).
10. Проверить, что тестовая подпись типа CAdES-X Long Type 1 создаётся успешно в нашем плагине: https://cryptopro.ru/sites/default/files/products/cades/demopage/cades_xlong_sample.html Указывать TSP-cлужбу одну из двух:
http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf
http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf
|