Descr initializesecuritycontext error 8009030c

Статус: Участник

Группы: Участники

Зарегистрирован: 08.12.2022(UTC)
Сообщений: 17

Откуда: Москва

Чтобы заработала служба Stunnel Service, конфигурационный файл stunnel.conf следует положить в System32 (использую Win10 64bit), после этого указанная служба этот файл увидит. О чем, правда, ни слова не сказано в инструкции от УЦ ЦБ РФ от 08.11.2022, но зато говорится в мануале на Stunnel, входящем в состав КриптоПро CSP.

Однако, ни успешный запуск данной службы, ни рекомендации выше в данной ветке, не избавляют нас от проблемы подключения к обозначенному серверу штампов времени. Все сертификаты должным образом установлены — как в хранилище текущего пользователя (права — админ), так и в хранилище локального компьютера. Установленный в эти хранилища средствами CSP личный сертификат, выданный аккредитованным УЦ БР, расширение «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)» имеет. Все тесты контейнеров средствами CSP (по каждому из хранилищ) проходят успешно, в свойства промежуточных сертификатов ЦБ РФ соответствующие адреса OCSP добавлены, строка «127.0.0.1 localhost tsp1.ca.cbr.ru» в файл без расширения «C:WindowsSystem32driversetchosts» записана, лицензии на CSP, TSP и OCSP активны…

Пробовали и в связке с Крипто АРМ ГОСТ, и в связке с КриптоПро ЭЦП Browser plug-in со страницы https://www.cryptopro.ru…/cades_xlong_sample.html — результат один и тот же. А в результате возникает окно выбора сертификата, а затем окно ввода пароля, но после соответствующих выбора и ввода, подключения все равно не происходит. Предлагаемая выше замена адресов службы времени УЦ ЦБ с «http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf» и «http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf» на «https://tsp1.ca.cbr.ru/tsp/tsp.srf» и «https://tsp2.ca.cbr.ru/tsp/tsp.srf», а также точек распространения списков отзыва на «https://tsp1.ca.cbr.ru/ocsp» и «https://tsp1.ca.cbr.ru/ocsp» ни к чему хорошему не приводит, кроме того, что по понятной причине, вместо того, чтобы использовать канал Stunnel, указанные приложения пытаются подключиться к серверу установки меток времени напрямую.

А конкретика следующая:

При запуске Stunnel Service от имени текущего пользователя видим следующий лог Stunnel:

2022.12.08 19:00:12 LOG5[3672:17856]: stunnel 4.18 on x86-pc-unknown
2022.12.08 19:00:12 LOG5[3672:17856]: Threading:WIN32 Sockets:SELECT,IPv6
2022.12.08 19:00:12 LOG5[3672:17856]: No limit detected for the number of clients
2022.12.08 19:00:12 LOG7[3672:17856]: FD 300 in non-blocking mode
2022.12.08 19:00:12 LOG7[3672:17856]: SO_REUSEADDR option set on accept socket
2022.12.08 19:00:12 LOG7[3672:17856]: tls1-client-https-1 bound to 127.0.0.1:10001
2022.12.08 19:00:12 LOG7[3672:17856]: FD 304 in non-blocking mode
2022.12.08 19:00:12 LOG7[3672:17856]: SO_REUSEADDR option set on accept socket
2022.12.08 19:00:12 LOG7[3672:17856]: tls1-client-https-2 bound to 127.0.0.1:10002
2022.12.08 19:10:16 LOG7[3672:17856]: tls1-client-https-1 accepted FD=308 from 127.0.0.1:60985
2022.12.08 19:10:16 LOG7[3672:17856]: Creating a new thread
2022.12.08 19:10:16 LOG7[3672:17856]: New thread created
2022.12.08 19:10:16 LOG7[3672:18488]: client start
2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 started
2022.12.08 19:10:16 LOG7[3672:18488]: FD 308 in non-blocking mode
2022.12.08 19:10:16 LOG7[3672:18488]: TCP_NODELAY option set on local socket
2022.12.08 19:10:16 LOG5[3672:18488]: tls1-client-https-1 connected from 127.0.0.1:60985
2022.12.08 19:10:16 LOG7[3672:18488]: FD 384 in non-blocking mode
2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 connecting
2022.12.08 19:10:16 LOG7[3672:18488]: connect_wait: waiting 10 seconds
2022.12.08 19:10:16 LOG7[3672:18488]: connect_wait: connected
2022.12.08 19:10:16 LOG7[3672:18488]: Remote FD=384 initialized
2022.12.08 19:10:16 LOG7[3672:18488]: TCP_NODELAY option set on remote socket
2022.12.08 19:10:16 LOG7[3672:18488]: start SSPI connect
2022.12.08 19:10:16 LOG3[3672:18488]: Credentials complete
2022.12.08 19:10:16 LOG7[3672:18488]: 166 bytes of handshake data sent
2022.12.08 19:10:16 LOG5[3672:18488]: 1318 bytes of handshake(in handshake loop) data received.
2022.12.08 19:10:16 LOG5[3672:18488]: 1627 bytes of handshake(in handshake loop) data received.
2022.12.08 19:10:16 LOG5[3672:18488]: certificate chain found
2022.12.08 19:10:16 LOG5[3672:18488]: new schannel credential created
2022.12.08 19:10:16 LOG3[3672:18488]: **** Error 0x8009030d returned by InitializeSecurityContext (2)
2022.12.08 19:10:16 LOG3[3672:18488]: Error performing handshake
2022.12.08 19:10:16 LOG5[3672:18488]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.12.08 19:10:16 LOG7[3672:18488]: free Buffers
2022.12.08 19:10:16 LOG7[3672:18488]: delete c->hContext
2022.12.08 19:10:16 LOG7[3672:18488]: delete c->hClientCreds
2022.12.08 19:10:16 LOG5[3672:18488]: incomp_mess = 0, extra_data = 1
2022.12.08 19:10:16 LOG7[3672:18488]: tls1-client-https-1 finished (0 left)

А при запуске Stunnel Service от имени локальной системы — следующий:

2022.12.08 20:43:02 LOG5[16664:1744]: stunnel 4.18 on x86-pc-unknown
2022.12.08 20:43:02 LOG5[16664:1744]: Threading:WIN32 Sockets:SELECT,IPv6
2022.12.08 20:43:02 LOG5[16664:1744]: No limit detected for the number of clients
2022.12.08 20:43:02 LOG7[16664:1744]: FD 296 in non-blocking mode
2022.12.08 20:43:02 LOG7[16664:1744]: SO_REUSEADDR option set on accept socket
2022.12.08 20:43:02 LOG7[16664:1744]: tls1-client-https-1 bound to 127.0.0.1:10001
2022.12.08 20:43:02 LOG7[16664:1744]: FD 300 in non-blocking mode
2022.12.08 20:43:02 LOG7[16664:1744]: SO_REUSEADDR option set on accept socket
2022.12.08 20:43:02 LOG7[16664:1744]: tls1-client-https-2 bound to 127.0.0.1:10002
2022.12.08 20:44:38 LOG7[16664:1744]: tls1-client-https-1 accepted FD=304 from 127.0.0.1:61710
2022.12.08 20:44:38 LOG7[16664:1744]: Creating a new thread
2022.12.08 20:44:38 LOG7[16664:1744]: New thread created
2022.12.08 20:44:38 LOG7[16664:22504]: client start
2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 started
2022.12.08 20:44:38 LOG7[16664:22504]: FD 304 in non-blocking mode
2022.12.08 20:44:38 LOG7[16664:22504]: TCP_NODELAY option set on local socket
2022.12.08 20:44:38 LOG5[16664:22504]: tls1-client-https-1 connected from 127.0.0.1:61710
2022.12.08 20:44:38 LOG7[16664:22504]: FD 380 in non-blocking mode
2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 connecting
2022.12.08 20:44:38 LOG7[16664:22504]: connect_wait: waiting 10 seconds
2022.12.08 20:44:38 LOG7[16664:22504]: connect_wait: connected
2022.12.08 20:44:38 LOG7[16664:22504]: Remote FD=380 initialized
2022.12.08 20:44:38 LOG7[16664:22504]: TCP_NODELAY option set on remote socket
2022.12.08 20:44:38 LOG7[16664:22504]: start SSPI connect
2022.12.08 20:44:38 LOG3[16664:22504]: Credentials complete
2022.12.08 20:44:38 LOG7[16664:22504]: 166 bytes of handshake data sent
2022.12.08 20:44:38 LOG5[16664:22504]: 1318 bytes of handshake(in handshake loop) data received.
2022.12.08 20:44:38 LOG5[16664:22504]: 1627 bytes of handshake(in handshake loop) data received.
2022.12.08 20:44:38 LOG5[16664:22504]: CertFindChainInStore not find certificate in store. Looking at LOCAL_MACHINE
2022.12.08 20:44:38 LOG5[16664:22504]: certificate chain found
2022.12.08 20:44:38 LOG5[16664:22504]: new schannel credential created
2022.12.08 20:44:38 LOG3[16664:22504]: **** Error 0x8009035d returned by InitializeSecurityContext (2)
2022.12.08 20:44:38 LOG3[16664:22504]: Error performing handshake
2022.12.08 20:44:38 LOG5[16664:22504]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket
2022.12.08 20:44:38 LOG7[16664:22504]: free Buffers
2022.12.08 20:44:38 LOG7[16664:22504]: delete c->hContext
2022.12.08 20:44:38 LOG7[16664:22504]: delete c->hClientCreds
2022.12.08 20:44:38 LOG5[16664:22504]: incomp_mess = 0, extra_data = 1
2022.12.08 20:44:38 LOG7[16664:22504]: tls1-client-https-1 finished (0 left)

Как я уже говорил, все сертификаты (включая личный) установлены средствами CSP, должным образом и корректно.

Статус: Новичок

Группы: Участники

Зарегистрирован: 22.03.2011(UTC)
Сообщений: 2
Откуда: Kirov

В инструкции УЦ Банка России по настройке stunnel есть требование:

Каким образом можно эту настройку сделать на Linux?

WWW

Статус: Участник

Группы: Участники

Зарегистрирован: 12.12.2022(UTC)
Сообщений: 10

Откуда: Москва

Добрый день, коллеги!
Dmitry-G, у нас ошибка практически один-в-один как у Вас. Все сертификаты — корневой, промежуточный, личный также установлены должным образом и корректно.

Но, в файле лога Stunnel говорит, что не видит сертификат локального пользователя:

………

2022.12.12 15:25:12 LOG3[6960:9356]: Credentials complete
2022.12.12 15:25:12 LOG7[6960:9356]: 166 bytes of handshake data sent
2022.12.12 15:25:13 LOG5[6960:9356]: 2760 bytes of handshake(in handshake loop) data received.
2022.12.12 15:25:13 LOG5[6960:9356]: 641 bytes of handshake(in handshake loop) data received.
2022.12.12 15:25:13 LOG5[6960:9356]: CertFindChainInStore not find certificate in store. Looking at LOCAL_MACHINE
2022.12.12 15:25:13 LOG5[6960:9356]: certificate chain found
2022.12.12 15:25:13 LOG5[6960:9356]: new schannel credential created
2022.12.12 15:25:13 LOG3[6960:9356]: **** Error 0x8009030d returned by InitializeSecurityContext (2)
2022.12.12 15:25:13 LOG3[6960:9356]: Error performing handshake
………

Вам удалось найти причину проблемы?

Статус: Участник

Группы: Участники

Зарегистрирован: 12.12.2022(UTC)
Сообщений: 10

Откуда: Москва

Мы сталкивались с такой же ошибкой 1067 при попытке запустить службу Stunnel Service.

Метод лечения:
1. Удалить службу Stunnel Service. Для этого в командной строке под админом написать C:Stunnelstunnel -remove
2. Скачать stunnel.conf из http://www.cbr.ru/Conten…tions_accessing_ttss.pdf в C:Stunnel
3. Только после шага №2 из командной строки установить Stunnel согласно инструкции ЦБ.
4. Скачать stunnel.conf от ЦБ в еще две папки: C:WindowsSystem32 и в C:WindowsSysWOW64
5. Пытаемся запустить службу из командной строки или через «Службы»

Статус: Участник

Группы: Участники

Зарегистрирован: 08.12.2022(UTC)
Сообщений: 17

Откуда: Москва

Добрый день, коллеги!
Если ничего не путаю, ошибка «CertFindChainInStore not find certificate in store. Looking at LOCAL_MACHINE» для цепочки сертификатов, установленной в хранилище локального компьютера, исчезла у нас после замены (по рекомендации сотрудников техподдержки КриптоПро) в конфиге Stunnel (повторюсь — который в 64-битных ОС должен лежать в папке System32, иначе сервис не запустится и будет ошибка 1067)
строк:
connect = 212.40.208.62:443
connect = 212.40.193.62:443
на соответствующие строки:
connect = tsp1.ca.cbr.ru:443
connect = tsp2.ca.cbr.ru:443

Однако, как выяснилось, основная причина происходящего была скрыта в настройках нашего firewall. Пару часов назад нам удалось получить корректный ответ с метками времени от сервера АУЦ БР на компе, который смотрел в инет напрямую, причем, без особых заморочек с настройками и с применением стандартного stunnel.conf в варианте от АУЦ БР.

Отредактировано пользователем 13 декабря 2022 г. 14:48:11(UTC)
 | Причина: Не указана

Статус: Участник

Группы: Участники

Зарегистрирован: 11.01.2017(UTC)
Сообщений: 21

Откуда: Москва

у нас все запускается
но не работает…

странная ошибка в логе
SSPI_read return SEC_I_CONTEXT_EXPIRED

Есть мысли (с ЦБ уже несколько дней переписываемся — ничего не помогает, и антивирус отключали и firewall тоже…)?

2022.12.13 16:39:27 LOG7[5204:1296]: !!!!!Call s_poll_wait with timeout = -1 ((sock_rd && ssl_rd)=1) c->ssl_ptr = f1d c->sock_ptr=0
2022.12.13 16:39:27 LOG7[5204:1296]: data send to socket = 3869
2022.12.13 16:39:27 LOG7[5204:1296]: SSPI_read start
2022.12.13 16:39:27 LOG7[5204:1296]: add data from last call = 31
2022.12.13 16:39:27 LOG5[5204:1296]: SEC_I_CONTEXT_EXPIRED,
2022.12.13 16:39:27 LOG5[5204:1296]: SSPI_read return SEC_I_CONTEXT_EXPIRED
2022.12.13 16:39:27 LOG7[5204:1296]: Socket write shutdown
2022.12.13 16:39:27 LOG7[5204:1296]: c->ssl_ptr = 0
2022.12.13 16:39:27 LOG7[5204:1296]: Enter pool section on transfer
2022.12.13 16:39:27 LOG7[5204:1296]: !!!!!Call s_poll_wait with timeout = 60 ((sock_rd && ssl_rd)=0) c->ssl_ptr = 0 c->sock_ptr=0
2022.12.13 16:39:27 LOG5[5204:1296]: 31 bytes of close_notify data sent
2022.12.13 16:39:27 LOG6[5204:1296]: SSL_shutdown successfully sent close_notify
2022.12.13 16:39:27 LOG5[5204:1296]: Connection closed: 306 bytes sent to SSL, 8057 bytes sent to socket
2022.12.13 16:39:27 LOG7[5204:1296]: free Buffers
2022.12.13 16:39:27 LOG7[5204:1296]: delete c->hContext
2022.12.13 16:39:27 LOG7[5204:1296]: delete c->hClientCreds
2022.12.13 16:39:27 LOG5[5204:1296]: incomp_mess = 1, extra_data = 2
2022.12.13 16:39:27 LOG7[5204:1296]: tls1-client-https-2 finished (0 left)

Статус: Участник

Группы: Участники

Зарегистрирован: 08.12.2022(UTC)
Сообщений: 17

Откуда: Москва

Да, признаю, как выяснилось, на машине с прямым инетом у нас все заработало лишь потому, что машина была новая и в личных у нее был всего лишь один сертификат — как раз тот сертификат, который требовался Stunnel для установки соединения. Когда же в справочнике имеются прочие личные сертификаты, в конфигурации Stunnel обязательно нужно указывать конкретно к какому сертификату из установленных обращаться. Как это сделать, подробно с примерами написано в мануале на Stunnel, входящем в состав КриптоПро CSP. Так что ИгорьК прав — антивирус и firewall тут оказались ни при чём. К сказанному также добавлю следующее:

A. Где-то в ветках данного форума кем-то было озвучено, что указанный сертификат следует выгружать в файловую систему из справочника КриптоПро CSP, а не класть его туда методом копирования. В этом случае якобы в него (или в Stunnel) каким то образом добавляется ссылка на закрытый ключ, которую понимает Stunnel. В общем, сложно сказать, что это за ссылка, куда и как она добавляется, но в нашем случае оказалось, что это работает. Так что автору идеи, большое спасибо. Эксперименты с подключением рекомендуем вначале проводить без пароля на контейнер с ключом.

B. Также выяснилось, что в процессе своей работы, служба Stunnel Service (при запуске от имени локальной системы) обращается к обозначенному личному сертификату в хранилище локального компьютера, а КриптоПро ЭЦП Browser plug-in — к такому же сертификату, лежащему в хранилище текущего пользователя. Так что по крайней мере на этапе тестирования, лучше добавлять соответствующую цепочку (с требуемыми настройками адресов OCSP в свойствах сертификатов БР) в оба эти хранилища.

C. Ну и еще, пожалуй, добавлю официальный ответ техподдержки БР по данному вопросу. Нам он, правда, в итоге не помог, но может кому будет полезно:

Просим проверить выполнение следующих шагов:
1. Установка цепочек сертификатов (сертификат владельца в хранилище личное текущего пользователя с привязкой к закрытому ключу, промежуточный сертификат УЦ Банка России в хранилище промежуточные центры сертификации локального компьютера, сертификат Минкомсвязи России в хранилище доверенные корневые центры сертификации локального компьютера);
2. Изменение файла C:WindowsSystem32driversetchosts — добавление строки 127.0.0.1 localhost tsp1.ca.cbr.ru tsp2.ca.cbr.ru (задвоение строк не допускается)
3. Указание в свойствах промежуточного сертификата УЦ Банка России ссылок http://127.0.0.1:10001/ocsp и http://127.0.0.1:10002/ocsp
4. Создание каталога C:Stunnel, скачать и поместить в него stunnel.conf, также скопировать stunnel.conf в каталог C:WindowsSystem32 — проверьте — данный файл не должен содержать задвоения информации
5. Скачать и поместить stunnel в каталог C:Stunnel. Программу stunnel (х64 или х32 в зависимости от разрядности ОС) предлагается скачать с официального сайтоа ООО «КРИПТО-ПРО». Инсталляция stunnel от имени администратора. Запуск службы Stunnel Service (от имени системной учетной записи) и проверка успешности его запуска (Пуск — Службы — Stunnel Service — запустить).
6. В каталоге C:Stunnel Вы должны иметь три файла: stunnel, stunnel.conf, stunnel_cli (файл лога — формируется после первого успешного запроса к службе штампов времени)
7. Проверка подписания тестовых электронных документов электронной подписью в КриптоАРМ ГОСТ без установки штампов времени и с установкой штампов времени по адресам http://tsp1.ca.cbr.ru:10001/tsp или http://tsp2.ca.cbr.ru:10002/tsp
8. Установка плагина «КриптоПро ЭЦП Browser Plug-in»
9. Тестирование ЭП в браузере на сервисе https://www.cryptopro.ru…/cades_xlong_sample.html
с указанием адресов http://tsp1.ca.cbr.ru:10001/tsp/tsp.srf или http://tsp2.ca.cbr.ru:10002/tsp/tsp.srf
При тестировании у Вас должно быть обращение к ключу с запросом пин-кода.
10. По итогам вышеуказанного можно сделать вывод об успешной работе с сервисами службы штампов времени.

Отредактировано пользователем 14 декабря 2022 г. 13:23:48(UTC)
 | Причина: Не указана

Статус: Участник

Группы: Участники

Зарегистрирован: 11.01.2017(UTC)
Сообщений: 21

Откуда: Москва

Попробовал через браузер
набрал
http://tsp1.ca.cbr.ru:10001/tsp

в логе те же самые
2022.12.14 12:57:34 LOG5[892:16136]: SEC_I_CONTEXT_EXPIRED,
2022.12.14 12:57:34 LOG5[892:16136]: SSPI_read return SEC_I_CONTEXT_EXPIRED
2022.12.14 12:57:34 LOG7[892:16136]: Socket write shutdown

Вот браузер выдал:

Запрошенный URL не может быть получен
При получении URL https://212.40.208.62/* произошла следующая ошибка: Не удалось установить безопасное соединение с [unknown]

The system returned:

[No Error] (TLS code: SQUID_TLS_ERR_CONNECT+TLS_LIB_ERR=1421C0F8+TLS_IO_ERR=1)
Failed to establish a secure connection: error:1421C0F8:SSL routines:set_client_ciphersuite:unknown cipher returned

Для выполнения Вашего запроса этот кэш и удаленный узел не смогли согласовать взаимоприемлемые параметры безопасности.
Возможно, удаленный узел не поддерживает безопасные соединения или кэш не удовлетворён удостоверением безопасности узла.

Статус: Участник

Группы: Участники

Зарегистрирован: 12.12.2022(UTC)
Сообщений: 10

Откуда: Москва

Добрый вечер, коллеги!
Идея Dmitry-G о том, что Stunnel не переваривает наличие более одного личного сертификата в папке «Личное» раздела Текущего пользователя и в папке «Личное» раздела Сертификаты (локальный компьютер) подтвердилась!!!
Мне удалось подписать данные с помощью КриптоПро ЭЦП Browser plug-in и документы с помощью КриптоАРМ только когда в папках «Личное» этих разделов было по одному личному сертификату.

Параметры при которых было успешное подписание
Запуск Stunnel: С системной учетной записью;
Конфиг-файл Stunnel: стоковый от Банка России лежит в c:Stunnel а также в C:WindowsSystem32
Подписание происходило в сеансе Текущего пользователя без админских прав.

Dmitry-G, я не нашел в мануале по Stunnel от КриптоПРО подробное описание с примерами указания пути к конкретному сертификату…
http://www.cryptopro.ru/…guidestunnel_windows.pdf

P.S. Да, антивирус и firewall не при чем. И права админа не влияют на успех подписания.

Отредактировано пользователем 14 декабря 2022 г. 16:19:59(UTC)
 | Причина: Не указана

Статус: Участник

Группы: Участники

Зарегистрирован: 11.01.2017(UTC)
Сообщений: 21

Откуда: Москва

Да, у нас на новой чистой машине тоже заработало, когда в Личном только один сертификат
Но как с этим работать?

пробовал явно указать в конфиге сертификат (cert = c:stunnelmyCert.cer)
так ругается, что не находит его…

Статус: Активный участник

Группы: Участники

Зарегистрирован: 03.05.2012(UTC)
Сообщений: 171
Откуда: Екатеринбург

Сказал(а) «Спасибо»: 46 раз
Поблагодарили: 23 раз в 19 постах

Добрый день.
КриптоПро CSP 4.0, Windows 8.1/x64
Проблема следующая. TLS клиент устанавливает соединение с сервером:
result=InitializeSecurityContext(clientCredentials,NULL,(SEC_WCHAR *)servername,request_flags,0,
SECURITY_NATIVE_DREP,NULL,0,clientContext,&buffer_desc,&response_flags,&expiration);
….
обмен с сервером
….
result=InitializeSecurityContext(clientCredentials,clientContext,NULL,request_flags,0,
SECURITY_NATIVE_DREP,&in_buffer_desc,0,NULL,&out_buffer_desc,&response_flags,&expiration);

приложение выполнено как сервис. При запуске сервиса от системного аккаунта или пользователя домена, последний InitializeSecurityContext возвращает SEC_E_DECRYPT_FAILURE (0x80090330). Если запустить как обычное консольное приложение, все работает нормально.
Замена криптопровайдера на 3.9 решает проблему, но есть клиенты, которые приобрели 4.0. Изменение настроек в консоли CSP ничего не дает.
Посоветуйте, пожалуйста, решение.