Внутренняя ошибка сервера гиис дмдк - Исправление ошибок и поиск оптимальных решений проблем

VerifySignature Ошибка проверки подписи:
0 – проверка ЭП успешна или создание ЭП успешна или проверка сертификата открытого ключа успешна;
-1 – нет поля data или signed в json;
-2 – нет тега <ds:DigestValue> или нет хеша;
-3 – нет тега <ds:SignatureValue> или нет подписи;
-4 – нет тега <ds:X509Certificate> или нет сертификата проверки;
-5 – внутренняя ошибка libgzcryptosign.so;
-6 – электронная подпись целостная, но срок действия ключа подписи истек;
-7 – электронная подпись целостная, но в сертификате отсутствует назначение — для подписи;
-8 – ошибка каноникализации или трансформации данных, полученных для проверки подписи;
-9 – ошибка вычисления хэша;
-10 – вычисленный хэш от данных и хэш в xml не совпадают;
-11 – ошибка создания каноклизированной xml для проверки подписи;
-12 – нарушена целостность электронной подписи или данных;
-13 – алгоритм формирования подписи не является ГОСТ 34.10-2001_256 или ГОСТ 34.10-2012_256;
-14 – нет данных для подписи;
-15 – ошибка создания каноклизированной xml для создания подписи;
-16 – срок действия сертификата открытого ключа менее 10 лет
-17 – В запросе отсутствует HTTP заголовок CertificateType
-18 — Отсутствуют или имеют неправильный формат атрибуты со ссылками и значениями доказательств подлинности.
-19 — В сообщении не найден действительный штамп времени на подпись.
-20 — Значения ссылок на доказательства подлинности и сами доказательства, вложенные в сообщение, не соответствуют друг другу.
-21 – Подпись на штамп времени не действительна.
-22 – XAdES содержит не поддерживаемые атрибуты.
-23 – Тип содержимого XAdES не соответствует
1 – электронная подпись целостная, но этот сертификат или один из сертификатов в цепочке сертификатов недействителен;
4 – электронная подпись целостная, но текущий сертификат или один из сертификатов в цепочке отозван;
8 – электронная подпись целостная, но сертификат или один из сертификатов в цепочке сертификатов не имеет действительной подписи;
16 – электронная подпись целостная, но сертификат или цепочка сертификатов недействительны для предполагаемого использования;
32 – электронная подпись целостная, но сертификат или цепочка сертификатов основана на не доверенном корневом сертификате;
64 – электронная подпись целостная, но статус отзыва текущего сертификата или одного из сертификатов в цепочке сертификатов неизвестен;
128 – электронная подпись целостная, но один из сертификатов в цепочке был выдан центром сертификации, который был сертифицирован исходным сертификатом;
256 – электронная подпись целостная, но один из сертификатов имеет неправильное расширение;
512 – электронная подпись целостная, но сертификат или один из сертификатов в цепочке сертификатов имеет расширение policy constraints, а один из выпущенных сертификатов имеет запрещенное расширение сопоставления политик или не имеет необходимого расширения политик выдачи;
1024 – электронная подпись целостная, но сертификат или один из сертификатов в цепочке сертификатов имеет расширение basic constraints, и либо сертификат не может быть использован для выдачи других сертификатов, либо длина пути цепочки превышена;
2048 – электронная подпись целостная, но сертификат или один из сертификатов в цепочке сертификатов имеет недопустимое расширение name constraints;
4096 – электронная подпись целостная, но сертификат или один из сертификатов в цепочке сертификатов имеет расширение name constraints, которое содержит неподдерживаемые поля;
8192 – электронная подпись целостная, но сертификат или один из сертификатов в цепочке сертификатов имеет расширение name constraints, а name constraints отсутствует для одного из вариантов имени в конечном сертификате;
16384 – электронная подпись целостная, но сертификат или один из сертификатов в цепочке сертификатов имеет расширение name constraints, и нет разрешенного name constraint для одного из вариантов имени в конечном сертификате;
32768 – электронная подпись целостная, но сертификат или один из сертификатов в цепочке сертификатов имеет расширение name constraints, и одно из вариантов имени в конечном сертификате явно исключен;
16777216 – электронная подпись целостная, но статус отзыва сертификата или одного из сертификатов в цепочке сертификатов недоступен или устарел;
33554432 – электронная подпись целостная, но конечный сертификат не имеет каких-либо результирующих политик выдачи, а один из выдающих сертификатов центра сертификации имеет расширение policy constraints, требующее этого;
67108864 – электронная подпись целостная, но сертификат не доверенный;
134217728 – электронная подпись целостная, но сертификат не поддерживает критическое расширение;
1048576 – электронная подпись целостная, но сертификат подписан слабым алгоритмом;
65536 – электронная подпись целостная, но цепочка сертификатов не полная;
131072 – электронная подпись целостная, но список отзывов сертификатов (CTL), использованный для создания этой цепочки просрочен;
262144 – электронная подпись целостная, но список отзывов сертификатов (CTL), использованный для создания этой цепочки, не имеет действительной подписи;
524288 – электронная подпись целостная, но список отзывов сертификатов (CTL), использованный для создания этой цепочки, не имеет правильного предназначения.

Источник

На чтение 2 мин Просмотров 10.9к. Опубликовано 22.12.2021

Заказать настройку интеграции 1с с ГИИС ДМДК

При подключении к личному кабинету ГИИС ДМДК, многие пользователи настроившие работу сайта по инструкции с официального сайта, сталкиваются с проблемой подключения и получают ошибки:

ERR_BAD_SSL_CLIENT_AUTH_CERT
Этот сайт не может обеспечить безопасное соединение
На сайте lk.dmdk.ru используется неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Для того, что бы устранить данную ошибку, необходимо еще раз проверить все пункты инструкции и если подключение все равно не работает, выполните настройку браузера по рекомендациям ниже. Для работы с личным кабинетом, я рекомендую использовать Яндекс Браузер и вся настройка будет показана на его примере.

Настройка браузера для ГИИС ДМДК

Откройте настройки браузера, затем перейдите в раздел «Системные» и в правой части браузера найдите пункт «Управление сертификатами».

После чего откроется окно с установленными сертификатами на вашей системе, в нем перейдите на вкладку «Доверенные корневые центры сертификации».

Далее, скачайте сертификат с официального сайта по ссылке http://reestr-pki.ru/cdp/guc_gost12.crt и нажмите «Импорт».

После чего откроется окно мастера импорта сертификатов, нажмите «Далее».

На следующем шаге, нажмите кнопку «Обзор», найдите и выберите файл сертификата, который скачали по ссылке выше и нажмите «Далее».

На этом шаге, обязательно проверьте пункт, куда помещать сертификат и нажмите «Далее» и затем «Готово».

Замечательно, один сертификат мы установили. Теперь нам требуется установить второй сертификат, скачайте его по ссылке с официального сайта http://iecp.ru/UC_AC/AC2020.crt и перейдите в окно импорта сертификатов на вкладку «Промежуточные центры сертификации».

Установите сертификат, так же как предыдущий, проконтролировав в мастере установки сертификатов, что бы он был помещен в «Промежуточные центры сертификации».

Обратите внимание! Сайт ГИИС ДМДК часто проводит технические работы и возможно вы не можете войти именно по этой причине. Уточняйте на сайте ГИИС ДМДК не проводят ли они работы в данный момент. Возможно на вашем компьютере все настроено правильно и корректно, просто требуется немного подождать и все заработает как раньше.

Дополненную инструкцию по настройке личного кабинета, можно почитать по ссылке.

На этом настройка завершена. Перезапустите браузер и проверьте, смогли ли вы войти в личный кабинет? Я думаю да! ?

Администратор

«Админы делятся на тех, кто не делает бэкапы, и тех, кто уже делает». Народная мудрость.

Источник

dubinin.nik	#1 Оставлено : 27 января 2022 г. 12:36:35(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 27.01.2022(UTC) Сообщений: 6 Сказал(а) «Спасибо»: 2 раз	Прошу помощи! Настраиваю интеграцию с ГИИС ДМДК! Сделал все как по инструкции по «ОПИСАНИЕ ИНТЕГРАЦИОННОГО СЕРВИСА». В конфиг файле Цитата: output=c:stunnelstunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 debug=7 [https] client=yes accept=127.0.0.1:1500 connect=195.209.130.19:443 cert=C:stunnelclicer.cer verify=0 Настроил как сервис от нового пользователя, все пароли сохранил — все супер. После танцев с бубном сервис стартует автоматом и работает. В лог все пишется. А вот дальше начинается самое интересное. Все общение с туннелем заканчивается на уровне хендшейка и дальше тишина.. Вот пример лог файла: Цитата: 2022.01.27 11:08:37 LOG5[21404:7348]: stunnel 4.18 on x86-pc-unknown 2022.01.27 11:08:37 LOG5[21404:7348]: Threading:WIN32 Sockets:SELECT,IPv6 2022.01.27 11:08:37 LOG5[21404:7348]: No limit detected for the number of clients 2022.01.27 11:08:37 LOG7[21404:7348]: FD 308 in non-blocking mode 2022.01.27 11:08:37 LOG7[21404:7348]: SO_REUSEADDR option set on accept socket 2022.01.27 11:08:37 LOG7[21404:7348]: https bound to 127.0.0.1:1500 2022.01.27 11:18:29 LOG7[21404:7348]: https accepted FD=312 from 127.0.0.1:52067 2022.01.27 11:18:29 LOG7[21404:7348]: Creating a new thread 2022.01.27 11:18:29 LOG7[21404:7348]: New thread created 2022.01.27 11:18:29 LOG7[21404:19356]: client start 2022.01.27 11:18:29 LOG7[21404:19356]: https started 2022.01.27 11:18:29 LOG7[21404:19356]: FD 312 in non-blocking mode 2022.01.27 11:18:29 LOG7[21404:19356]: TCP_NODELAY option set on local socket 2022.01.27 11:18:29 LOG5[21404:19356]: https connected from 127.0.0.1:52067 2022.01.27 11:18:29 LOG7[21404:19356]: FD 372 in non-blocking mode 2022.01.27 11:18:29 LOG7[21404:19356]: https connecting 2022.01.27 11:18:29 LOG7[21404:19356]: connect_wait: waiting 10 seconds 2022.01.27 11:18:29 LOG7[21404:19356]: connect_wait: connected 2022.01.27 11:18:29 LOG7[21404:19356]: Remote FD=372 initialized 2022.01.27 11:18:29 LOG7[21404:19356]: TCP_NODELAY option set on remote socket 2022.01.27 11:18:29 LOG7[21404:19356]: start SSPI connect 2022.01.27 11:18:29 LOG5[21404:19356]: try to read the client certificate 2022.01.27 11:18:29 LOG7[21404:19356]: open file C:stunnelclicer.cer with certificate 2022.01.27 11:18:30 LOG3[21404:19356]: **** Error 0x8009030e returned by AcquireCredentialsHandle 2022.01.27 11:18:30 LOG3[21404:19356]: Credentials complete 2022.01.27 11:18:30 LOG3[21404:19356]: Error creating credentials 2022.01.27 11:18:30 LOG5[21404:19356]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.01.27 11:18:30 LOG7[21404:19356]: free Buffers 2022.01.27 11:18:30 LOG5[21404:19356]: incomp_mess = 0, extra_data = 0 2022.01.27 11:18:30 LOG7[21404:19356]: https finished (0 left) 2022.01.27 11:18:30 LOG7[21404:7348]: https accepted FD=400 from 127.0.0.1:52069 2022.01.27 11:18:30 LOG7[21404:7348]: Creating a new thread 2022.01.27 11:18:30 LOG7[21404:7348]: New thread created 2022.01.27 11:22:50 LOG5[5128:5160]: stunnel 4.18 on x86-pc-unknown 2022.01.27 11:22:50 LOG5[5128:5160]: Threading:WIN32 Sockets:SELECT,IPv6 2022.01.27 11:22:50 LOG5[5128:5160]: No limit detected for the number of clients 2022.01.27 11:22:50 LOG7[5128:5160]: FD 304 in non-blocking mode 2022.01.27 11:22:50 LOG7[5128:5160]: SO_REUSEADDR option set on accept socket 2022.01.27 11:22:50 LOG7[5128:5160]: https bound to 127.0.0.1:1500 2022.01.27 12:13:48 LOG7[5128:5160]: https accepted FD=284 from 127.0.0.1:50123 2022.01.27 12:13:48 LOG7[5128:5160]: Creating a new thread 2022.01.27 12:13:48 LOG7[5128:5160]: New thread created 2022.01.27 12:13:48 LOG7[5128:19276]: client start 2022.01.27 12:13:48 LOG7[5128:19276]: https started 2022.01.27 12:13:48 LOG7[5128:19276]: FD 284 in non-blocking mode 2022.01.27 12:13:48 LOG7[5128:19276]: TCP_NODELAY option set on local socket 2022.01.27 12:13:48 LOG5[5128:19276]: https connected from 127.0.0.1:50123 2022.01.27 12:13:48 LOG7[5128:19276]: FD 372 in non-blocking mode 2022.01.27 12:13:48 LOG7[5128:19276]: https connecting 2022.01.27 12:13:48 LOG7[5128:19276]: connect_wait: waiting 10 seconds 2022.01.27 12:13:48 LOG7[5128:19276]: connect_wait: connected 2022.01.27 12:13:48 LOG7[5128:19276]: Remote FD=372 initialized 2022.01.27 12:13:48 LOG7[5128:19276]: TCP_NODELAY option set on remote socket 2022.01.27 12:13:48 LOG7[5128:19276]: start SSPI connect 2022.01.27 12:13:48 LOG5[5128:19276]: try to read the client certificate 2022.01.27 12:13:48 LOG7[5128:19276]: open file C:stunnelclicer.cer with certificate 2022.01.27 12:13:49 LOG3[5128:19276]: Credentials complete 2022.01.27 12:13:49 LOG7[5128:19276]: 121 bytes of handshake data sent 2022.01.27 12:18:49 LOG6[5128:19276]: handshake loop s_poll_wait timeout: connection reset 2022.01.27 12:18:49 LOG3[5128:19276]: Error performing handshake 2022.01.27 12:18:49 LOG5[5128:19276]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.01.27 12:18:49 LOG7[5128:19276]: free Buffers 2022.01.27 12:18:49 LOG7[5128:19276]: delete c->hContext 2022.01.27 12:18:49 LOG7[5128:19276]: delete c->hClientCreds 2022.01.27 12:18:49 LOG5[5128:19276]: incomp_mess = 0, extra_data = 0 2022.01.27 12:18:49 LOG7[5128:19276]: https finished (0 left) 2022.01.27 12:19:14 LOG7[5128:5160]: https accepted FD=1372 from 127.0.0.1:50233 2022.01.27 12:19:14 LOG7[5128:5160]: Creating a new thread 2022.01.27 12:19:14 LOG7[5128:5160]: New thread created 2022.01.27 12:19:14 LOG7[5128:18180]: client start 2022.01.27 12:19:14 LOG7[5128:18180]: https started 2022.01.27 12:19:14 LOG7[5128:18180]: FD 1372 in non-blocking mode 2022.01.27 12:19:14 LOG7[5128:18180]: TCP_NODELAY option set on local socket 2022.01.27 12:19:14 LOG5[5128:18180]: https connected from 127.0.0.1:50233 2022.01.27 12:19:14 LOG7[5128:18180]: FD 400 in non-blocking mode 2022.01.27 12:19:14 LOG7[5128:18180]: https connecting 2022.01.27 12:19:14 LOG7[5128:18180]: connect_wait: waiting 10 seconds 2022.01.27 12:19:14 LOG7[5128:18180]: connect_wait: connected 2022.01.27 12:19:14 LOG7[5128:18180]: Remote FD=400 initialized 2022.01.27 12:19:14 LOG7[5128:18180]: TCP_NODELAY option set on remote socket 2022.01.27 12:19:14 LOG7[5128:18180]: start SSPI connect 2022.01.27 12:19:14 LOG5[5128:18180]: try to read the client certificate 2022.01.27 12:19:14 LOG7[5128:18180]: open file C:stunnelclicer.cer with certificate 2022.01.27 12:19:15 LOG3[5128:18180]: Credentials complete 2022.01.27 12:19:15 LOG7[5128:18180]: 121 bytes of handshake data sent 2022.01.27 12:20:56 LOG7[5128:5160]: https accepted FD=1460 from 127.0.0.1:50257 2022.01.27 12:20:56 LOG7[5128:5160]: Creating a new thread 2022.01.27 12:20:56 LOG7[5128:5160]: New thread created 2022.01.27 12:20:56 LOG7[5128:15456]: client start 2022.01.27 12:20:56 LOG7[5128:15456]: https started 2022.01.27 12:20:56 LOG7[5128:15456]: FD 1460 in non-blocking mode 2022.01.27 12:20:56 LOG7[5128:15456]: TCP_NODELAY option set on local socket 2022.01.27 12:20:56 LOG5[5128:15456]: https connected from 127.0.0.1:50257 2022.01.27 12:20:56 LOG7[5128:15456]: FD 1432 in non-blocking mode 2022.01.27 12:20:56 LOG7[5128:15456]: https connecting 2022.01.27 12:20:56 LOG7[5128:15456]: connect_wait: waiting 10 seconds 2022.01.27 12:20:56 LOG7[5128:15456]: connect_wait: connected 2022.01.27 12:20:56 LOG7[5128:15456]: Remote FD=1432 initialized 2022.01.27 12:20:56 LOG7[5128:15456]: TCP_NODELAY option set on remote socket 2022.01.27 12:20:56 LOG7[5128:15456]: start SSPI connect 2022.01.27 12:20:56 LOG5[5128:15456]: try to read the client certificate 2022.01.27 12:20:56 LOG7[5128:15456]: open file C:stunnelclicer.cer with certificate 2022.01.27 12:20:56 LOG3[5128:15456]: Credentials complete 2022.01.27 12:20:56 LOG7[5128:15456]: 121 bytes of handshake data sent 2022.01.27 12:24:10 LOG7[5128:5160]: https accepted FD=388 from 127.0.0.1:50340 2022.01.27 12:24:10 LOG7[5128:5160]: Creating a new thread 2022.01.27 12:24:10 LOG7[5128:5160]: New thread created 2022.01.27 12:24:10 LOG7[5128:19448]: client start 2022.01.27 12:24:10 LOG7[5128:19448]: https started 2022.01.27 12:24:10 LOG7[5128:19448]: FD 388 in non-blocking mode 2022.01.27 12:24:10 LOG7[5128:19448]: TCP_NODELAY option set on local socket 2022.01.27 12:24:10 LOG5[5128:19448]: https connected from 127.0.0.1:50340 2022.01.27 12:24:10 LOG7[5128:19448]: FD 1540 in non-blocking mode 2022.01.27 12:24:10 LOG7[5128:19448]: https connecting 2022.01.27 12:24:10 LOG7[5128:19448]: connect_wait: waiting 10 seconds 2022.01.27 12:24:10 LOG7[5128:19448]: connect_wait: connected 2022.01.27 12:24:10 LOG7[5128:19448]: Remote FD=1540 initialized 2022.01.27 12:24:10 LOG7[5128:19448]: TCP_NODELAY option set on remote socket 2022.01.27 12:24:10 LOG7[5128:19448]: start SSPI connect 2022.01.27 12:24:10 LOG5[5128:19448]: try to read the client certificate 2022.01.27 12:24:10 LOG7[5128:19448]: open file C:stunnelclicer.cer with certificate 2022.01.27 12:24:10 LOG3[5128:19448]: Credentials complete 2022.01.27 12:24:10 LOG7[5128:19448]: 121 bytes of handshake data sent 2022.01.27 12:24:15 LOG6[5128:18180]: handshake loop s_poll_wait timeout: connection reset 2022.01.27 12:24:15 LOG3[5128:18180]: Error performing handshake 2022.01.27 12:24:15 LOG5[5128:18180]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.01.27 12:24:15 LOG7[5128:18180]: free Buffers 2022.01.27 12:24:15 LOG7[5128:18180]: delete c->hContext 2022.01.27 12:24:15 LOG7[5128:18180]: delete c->hClientCreds 2022.01.27 12:24:15 LOG5[5128:18180]: incomp_mess = 0, extra_data = 0 2022.01.27 12:24:15 LOG7[5128:18180]: https finished (2 left) 2022.01.27 12:25:56 LOG6[5128:15456]: handshake loop s_poll_wait timeout: connection reset 2022.01.27 12:25:56 LOG3[5128:15456]: Error performing handshake 2022.01.27 12:25:56 LOG5[5128:15456]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.01.27 12:25:56 LOG7[5128:15456]: free Buffers 2022.01.27 12:25:56 LOG7[5128:15456]: delete c->hContext 2022.01.27 12:25:56 LOG7[5128:15456]: delete c->hClientCreds 2022.01.27 12:25:56 LOG5[5128:15456]: incomp_mess = 0, extra_data = 0 2022.01.27 12:25:56 LOG7[5128:15456]: https finished (1 left) 2022.01.27 12:29:10 LOG6[5128:19448]: handshake loop s_poll_wait timeout: connection reset 2022.01.27 12:29:10 LOG3[5128:19448]: Error performing handshake 2022.01.27 12:29:10 LOG5[5128:19448]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.01.27 12:29:10 LOG7[5128:19448]: free Buffers 2022.01.27 12:29:10 LOG7[5128:19448]: delete c->hContext 2022.01.27 12:29:10 LOG7[5128:19448]: delete c->hClientCreds 2022.01.27 12:29:10 LOG5[5128:19448]: incomp_mess = 0, extra_data = 0 2022.01.27 12:29:10 LOG7[5128:19448]: https finished (0 left) При попытке протестировать согласно документации через SoapUI — при создании нового проекта выдается ошибка Цитата: Error loading [http://127.0.0.1:1500/ws/v1/exchange.wsdl]: java.lang.Exception: Failed to load url; http://127.0.0.1:1500/ws/v1/exchange.wsdl, 0 При попытке запустить тестирование интеграции через 1С Розница — Ювелирный магазин от 1С Рарус — Интеграция с ГИИС ДМДК — при нажатии Проверить подключение — 1С зависает. Помогите господа разработчики! Отредактировано пользователем 27 января 2022 г. 12:37:37(UTC) \| Причина: Не указана

two_oceans	#2 Оставлено : 28 января 2022 г. 7:32:32(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,598 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 388 раз в 363 постах	Добрый день. Коллега, как я понимаю, при тестировании Вы совершаете частую ошибку (описано в темах по stunnel) и указываете в браузере (SoapUI, 1С) адрес как 127.0.0.1:1500. На самом деле, Вам нужно указать полное доменное имя (для этого прописывается в файле hosts соответствие этого доменного имени и адреса 127.0.0.1). Полное доменное имя (если неизвестно) можно взять из сертификата сервера. Если совсем в идеале также слушать на портах 80 и 443 (если они у Вас свободны и соединение одно), но для wsdl скорее всего не понадобится до такого доходить. Дело в том, что сейчас очень много ГИС, которые через один внешний ip предоставляют доступ к разным внутренним ресурсам. Для выбора ресурса используется строка Host из http запроса, а иногда также и порт. Когда Вы в браузере (SoapUI, 1С) указываете 127.0.0.1 это значение идет в строку Host из http запроса и шлюзовой сервер на той стороне оказывается в ступоре куда Вы хотите подключиться.

1 пользователь поблагодарил two_oceans за этот пост.	dubinin.nik оставлено 17.05.2022(UTC)

al1111	#3 Оставлено : 9 февраля 2022 г. 14:46:08(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 09.02.2022(UTC) Сообщений: 1	Подскажите пожалуйста аналогичная проблемма вот только у нас в сертификате CN = ООО»Рога копыта» Т.е. Кирилица, ковычки, пробел. В hosts для привязки у меня не получаеться это добавить а с hostname dacha-ПК не отрабатывает при этом 127.0.0.1 dacha-ПК в hosts добавил. output=c:stunnelstunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 debug=7 [https] client=yes accept=dacha-ПК:1500 connect=195.209.130.19:443 cert=C:stunnelclicer.cer verify=2 Как быть?

two_oceans	#4 Оставлено : 10 февраля 2022 г. 6:41:54(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,598 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 388 раз в 363 постах	Автор: al1111 Подскажите пожалуйста аналогичная проблемма вот только у нас в сертификате CN = ООО»Рога копыта» Как быть? Что-то вы вообще странное творите: прочитайте еще раз внимательнее. Цитата: Полное доменное имя (если неизвестно) можно взять из сертификата сервера. 1) Зачем Вы ориентируетесь на свой сертификат клиента с CN = ООО»Рога копыта». Каким он боком относится к серверу? Аналогия — шли по улице, сертификат лежит и думаете «а не вписать ли его в конфиг»? Если точнее, то имеется ввиду сертификат удаленного сервера, к которому соединяетесь stunnel ом, то есть сервера, указанного в строке connect. Имя не обязательно в CN, может быть в Альтернативных именах владельца. Вот только в конфиге в строке connect написан IP адрес, а вам нужно найти имя этого сервера. Это можно сделать либо через DNS командой типа nslookup 19.130.209.195.in-addr.arpa (цифры из IP в обратном порядке) либо посмотрев сертификат, который при коннекте на 195.209.130.19:443 предоставляет сервер. В DNS ГИС частенько ничего не регистрируют (первая команда дает non-existent domain), потому проще смотреть сертификат. Сохранить сертификат удаленного сервера можно утилитой csptest в командной строке Код: `C: cd "Program FilesCrypto ProCSP" csptest -tlsc -server 195.209.130.19 -user отпечаток_сертификата_без_пробелов -file /ws/v1/exchange.wsdl -verbose -nosave -nocheck -savecert d:195_209_130_19.p7b` Здесь уже учтено: адрес сервера, адрес wsdl, wsdl не сохраняется, указан сертификат клиента, выводятся подробные данные, не проверяется цепочка сертификатов клиента и сервера, сертификат сервера сохраняется в файл d:195_209_130_19.p7b. Цепочка сервера не проверяется, потому что, как оказалось, он выдан тестовым сервером КриптоПро, а добавлять тестовый УЦ в доверенные не очень разумно. Имя оказалось типа .goznak.ru, то есть желательно вместо звездочки еще что-то подобрать. Для примера я возьму стандартное www, но возможно больше подойдет dmdk. Перед этим стоит еще 20211217 и пробел — такое имя проверку не пройдет. хотя возможно такой ответ на мой сертификат, а Вам ответит сервер что-то более квалифицированное. 2) 127.0.0.1 dacha-ПК тоже не вариант, удаленный сервер не знает про такое имя. 3) файл сертификата желателен в кодировке DER 4) при использовании stunnel-msspi можно вместо пути к сертификату указывать отпечаток (без пробелов). Также может потребоваться указать pin=пин_код 5) Насколько помню verify=2 требует дополнительных настроек (указание хранилища, в котором будут сертификаты УЦ для проверки сертификата сервера), сначала тестируйте с verify=0. Повторюсь, «добавлять тестовый УЦ в доверенные не очень разумно» и «перед .goznak.ru стоит еще 20211217 и пробел — такое имя проверку не пройдет». Исходя из этого, должно быть примерно так: Код: `output=c:stunnelstunnel.log socket=l:TCP_NODELAY=1 socket=r:TCP_NODELAY=1 debug=7 [https] client=yes accept=127.0.0.1:1500 connect=195.209.130.19:443 cert=C:stunnelclicer.cer verify=0` в hosts Код: `127.0.0.1 www.goznak.ru` в 1с/browser/soapui тестируете адрес Код: `http://www.goznak.ru:1500/ws/v1/exchange.wsdl` WSDL у меня браузер получил, значит имя www.goznak.ru допустимо, но дальше нежданчик в WSDL: Код: `<soap:address location="http://www.goznak.ru:80/ws/v1"/>` То есть для корректной работы soapui stunnel должен слушать на 80 порту, а не на 1500. Отредактировано пользователем 10 февраля 2022 г. 8:23:53(UTC) \| Причина: Не указана

basid	#5 Оставлено : 10 февраля 2022 г. 19:35:03(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 935 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	Автор: two_oceans Вот только в конфиге в строке connect написан IP адрес, а вам нужно найти имя этого сервера. Это можно сделать либо через DNS командой типа nslookup 19.130.209.195.in-addr.arpa (цифры из IP в обратном порядке) В системе разрешения доменных имён прямая и обратная зоны — две разные зоны. Никакой связи между ними нет и, в практически важных случаях, взаимнооднозначные связи между ними — редкая случайность. P.S. nslookup достаточно «интеллектуален», чтобы вернуть имя по IP-адресу. Если быть совсем точным, то утилите и думать не требуется — PTR-запись (если есть) вернёт сервер имён.

two_oceans	#6 Оставлено : 11 февраля 2022 г. 13:46:11(UTC)
Статус: Эксперт Группы: Участники Зарегистрирован: 05.03.2015(UTC) Сообщений: 1,598 Откуда: Иркутская область Сказал(а) «Спасибо»: 110 раз Поблагодарили: 388 раз в 363 постах	Автор: basid В системе разрешения доменных имён прямая и обратная зоны — две разные зоны. Никакой связи между ними нет и, в практически важных случаях, взаимнооднозначные связи между ними — редкая случайность. Соглашусь частично, что разные и связи нет. Однако все же мне кажется не обошлось без бииип местных провайдеров (забивающих фейковые имена типа 1.2.3.xsdl.my-super-provider.ru) и сисадминов ведомств, (которым нормально купить домен, но ненормально зарегистрировать его PTR в обратных зонах dns провайдера). Автор: basid P.S. nslookup достаточно «интеллектуален», чтобы вернуть имя по IP-адресу. Вот это Вы мне точно америку открыли. Почему-то пока я вручную не сменю тип запроса на PTR он мне возвращает тоже что я написал (8.8.8.8.in-addr.arpa) даже хотя запись есть. Сменю — покажет dns.google. Так что укажите, пожалуйста, ОС на которой он отрастил-таки интеллект.

basid	#7 Оставлено : 12 февраля 2022 г. 8:11:24(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 935 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	Код: `> nslookup 8.8.8.8 1.1.1.1 Server: one.one.one.one Address: 1.1.1.1 Name: dns.google Address: 8.8.8.8` Windows 7. Как оно было на NT4 и Windows 2000 — уже не помню, но на XP/2003 — работало точно также.

basid	#8 Оставлено : 12 февраля 2022 г. 8:13:42(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 21.11.2010(UTC) Сообщений: 935 Сказал(а) «Спасибо»: 6 раз Поблагодарили: 126 раз в 114 постах	Автор: two_oceans Однако все же мне кажется не обошлось без бииип местных провайдеров (забивающих фейковые имена типа 1.2.3.xsdl.my-super-provider.ru) Это никакие не фейки. Обратная зона — вотчина провайдера. Имена в этой зоне назначаются так, чтобы провайдер мог решать свои (технические) задачи удобным ему образом.

dubinin.nik	#9 Оставлено : 17 мая 2022 г. 11:31:15(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 27.01.2022(UTC) Сообщений: 6 Сказал(а) «Спасибо»: 2 раз	Автор: two_oceans Добрый день. Коллега, как я понимаю, при тестировании Вы совершаете частую ошибку (описано в темах по stunnel) и указываете в браузере (SoapUI, 1С) адрес как 127.0.0.1:1500. На самом деле, Вам нужно указать полное доменное имя (для этого прописывается в файле hosts соответствие этого доменного имени и адреса 127.0.0.1). Полное доменное имя (если неизвестно) можно взять из сертификата сервера. Если совсем в идеале также слушать на портах 80 и 443 (если они у Вас свободны и соединение одно), но для wsdl скорее всего не понадобится до такого доходить. Дело в том, что сейчас очень много ГИС, которые через один внешний ip предоставляют доступ к разным внутренним ресурсам. Для выбора ресурса используется строка Host из http запроса, а иногда также и порт. Когда Вы в браузере (SoapUI, 1С) указываете 127.0.0.1 это значение идет в строку Host из http запроса и шлюзовой сервер на той стороне оказывается в ступоре куда Вы хотите подключиться. в общем проблема у меня все таки не в адресах и хостсах. SoapUI как по айпи 127.0.0.1:1500 так и по доменному имени после прописания в хостс — ломится и выдает один и тот же лог. Проблема с сертификатом. Дело в том, что я уже даже сертификат новый в налоговой получил, установил в систему и экспортировал в clicer.cer И все равно ошибка одна и та же 022.05.17 11:26:21 LOG7[10208:17556]: https connecting 2022.05.17 11:26:21 LOG7[10208:17556]: connect_wait: waiting 10 seconds 2022.05.17 11:26:21 LOG7[10208:17556]: connect_wait: connected 2022.05.17 11:26:21 LOG7[10208:17556]: Remote FD=1464 initialized 2022.05.17 11:26:21 LOG7[10208:17556]: TCP_NODELAY option set on remote socket 2022.05.17 11:26:21 LOG7[10208:17556]: start SSPI connect 2022.05.17 11:26:21 LOG5[10208:17556]: try to read the client certificate 2022.05.17 11:26:21 LOG7[10208:17556]: open file C:stunnelclicer.cer with certificate 2022.05.17 11:26:21 LOG3[10208:17556]: Error 0x8009030e returned by AcquireCredentialsHandle 2022.05.17 11:26:21 LOG3[10208:17556]: Credentials complete 2022.05.17 11:26:21 LOG3[10208:17556]: Error creating credentials 2022.05.17 11:26:21 LOG5[10208:17556]: Connection reset: 0 bytes sent to SSL, 0 bytes sent to socket 2022.05.17 11:26:21 LOG7[10208:17556]: free Buffers 2022.05.17 11:26:21 LOG5[10208:17556]: incomp_mess = 0, extra_data = 0 2022.05.17 11:26:21 LOG7[10208:17556]: https finished (0 left) до сих пор в ступоре

dubinin.nik	#10 Оставлено : 18 мая 2022 г. 9:19:30(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 27.01.2022(UTC) Сообщений: 6 Сказал(а) «Спасибо»: 2 раз	Помогло решение описанное в посте https://www.cryptopro.ru…&m=133280#post133280 А именно, я сделал все по новому вот так: 1) Проверил, что служба STunnel запускается от имени системы. 2) Прошел в сертификаты локального компьютера, из каталога «Личное» -> «Реестр» -> «Сертификаты» удалил сертификаты 3) В панели КриптоПРО поместил сертификат с ключа через «сервис» -> «Просмотр. серт в конт.» в хранилище локального компьютера. 4) Из программы «Сертификаты» (под админом) сделал экспорт сертификата (открытого ключа) в файл, который прописан в конфиге STunnel. Тут важен шаг 2 и 3, т.к. как я понял при экспорте сертификата в нем указывается ссылка на конт. закр. ключа. Запустил службу — установил соединение

Пользователи, просматривающие эту тему

Guest

Быстрый переход

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.

Источник

Содержание:

Что означает код ошибки 500 и почему она возникает?
Где можно встретить ошибку 500?
Все причины возникновения ошибки
Что делать при появлении ошибки?
- Подождать
- Сообщить администратору
Что делать администратору при появлении ошибки?
- Проверить файл htaccess
- Проверить лог ошибок
- Проверить содержимое CGI-скриптов
- Проверить плагины и компоненты
- Увеличить объем оперативной памяти сервера

Что означает код ошибки 500 и почему она возникает?

Коды состояния HTTP сообщают браузеру интернет-пользователя (клиенту), успешно ли выполнен запрос (получение доступа к сайту). К примеру, если браузер получает код состояния 200, то все прошло успешно. Это сообщение не видно пользователю — вместо него появляется запрошенный контент.

С кодами состояния 400 и 500 дело обстоит иначе. Первый означает, что ошибка связана с клиентом, а второй — с сервером.

Internal Server Error 500 — общий код состояния для ошибок со стороны сервера. По этой причине невозможно сразу определить, где именно возникла проблема: известно лишь то, что сервер сообщил о ней. Когда это происходит, сайт отображает посетителям страницу с сообщением об ошибке.

Где можно встретить ошибку 500?

Поскольку эта ошибка является частью спецификации HTTP для сайтов, она может появляться в любом браузере и на любом компьютере, в том числе на мобильных устройствах.

Ошибка 500 может отображаться различными способами, но в большинстве случаев сообщение включает код состояния 500, фразу «внутренняя ошибка сервера» или и то, и другое. Вот несколько распространенных примеров:

500 Internal Server Error;
HTTP 500 — Internal Server Error;
Temporary Error (500);
Internal Server Error;
HTTP 500 Internal Error;
500 Error;
HTTP Error 500;
500. That’s an error.

Обычно эта ошибка отображается в окне браузера, как стандартная веб-страница.

Все причины возникновения ошибки

Internal Server Error 500 возникает, когда запрос обрабатывается сервером. Этот код состояния включает все незапланированные события, которые могут произойти на стороне сервера и помешать загрузке сайта. Одна из возможных причин — ошибка в конфигурации сервера.

Вот несколько типичных источников проблем.

Доступ запрещен — разрешения основных файлов и папок заданы неправильно.
Тайм-аут сеанса PHP — скрипт пытается получить доступ к внешнему ресурсу и сталкивается с задержкой.
Некорректный код в htaccess — структура htaccess, файла для локальной настройки сервера Apache, может быть неправильной.
Ошибка в синтаксисе и коде скриптов CGI и Perl — в этих скриптах могут встречаться неточности, в частности несогласованность путей.
Лимит памяти PHP — процесс превышает пределы памяти и поэтому не может быть выполнен правильно.

Если сайт работает на WordPress или другой системе управления контентом, причиной ошибки может стать неисправное или несовместимое расширение. Плагины и темы — особенно от сторонних провайдеров — могут повлиять на весь сайт.

Если ошибка сохраняется в течение длительного времени, это может негативно повлиять на SEO сайта. К счастью, большинство из этих проблем можно исправить.

Что делать при появлении ошибки?

Если вы попытались открыть веб-страницу, но увидели Internal Server Error 500, можно сделать следующее.

Подождать

Поскольку ошибка исходит со стороны сервера, владельцы сайта, скорее всего, уже работают над ее устранением. Попробуйте подождать несколько минут или около часа, а затем перезагрузите страницу.

Также можно заглянуть на сайт downforeveryoneorjustme.com и вставить в поисковую строку URL-адрес страницы, на которой произошла внутренняя ошибка сервера.

Сервис сообщит, возникла ли проблема только у вас или же у всех пользователей.

Сообщить администратору

Еще один вариант — связаться с владельцами сайта. Если вы предполагаете, что они еще не знают об ошибке, лучше всего сообщить им — это поможет и вам, и другим пользователям.

У большинства сайтов и сервисов есть аккаунты в социальных сетях, а на некоторых даже указаны email-адреса и номера телефона.

Что делать администратору при появлении ошибки?

Если ошибка 500 появилась на вашем сайте, попробуйте следующие способы.

Проверить файл htaccess

Загляните в файл htaccess: даже небольшая синтаксическая ошибка может вызывать внутреннюю ошибку сервера. Не менее часто случается так, что этот файл неправильно отформатирован. Его нужно создавать в формате ASCII или ANSI, а не в Unicode. Следовательно, писать его следует в текстовом редакторе, например в Notepad, Notepad++ и Sublime Text, а не в Microsoft Word.

Чтобы проверить, является ли файл htaccess причиной ошибки, можно временно переименовать его и перезагрузить сайт. После этого сервер не будет обращаться к htaccess при загрузке страницы. Если сообщение об ошибке больше не появляется, значит стоит исправить этот файл или создать новый.

Проверить лог ошибок

Загляните в лог-файл, например для серверов Linux его можно найти по адресу /var/log/httpd/error_log. Попробуйте перезагрузить сайт, чтобы воспроизвести код ошибки 500, и посмотреть, как создается лог-файл. Это поможет быстро найти источник проблемы.

Проверить содержимое CGI-скриптов

Ошибки могут возникать, если разрешения для важных файлов установлены неправильно. Есть три типа прав:

read (r) — чтение;
write (w) — запись;
execute (x) — выполнение.

Эти разрешения можно предоставлять трем типам пользователей:

владельцу файла;
группе пользователей;
все остальным.

Права указываются либо с помощью сокращений r, w и x, либо с помощью числовых значений: 4 — для чтения, 2 — для записи и 1 — для выполнения. Они добавляются для каждого типа пользователей и идут один за другим: rwxr-xr-x (rwx — для владельца, r-x — для группы и r-x — для всех остальных) или 755.

По умолчанию должна быть установлена конфигурация 755. Если разрешения предоставляются иначе, может возникнуть ошибка. Эту настройку можно изменить с помощью команды: chmod 755 filename.

Если проблема не решится, можно также провести тестирование, предоставив все права для каждой группы: chmod 777 filename. Однако к этой настройке следует прибегать только для определения проблемы — если любой пользователь сможет переписывать файл, безопасность сайта окажется под угрозой.

Проверить плагины и компоненты

Новое ПО, надстройки и сторонние скрипты могут конфликтовать с текущей конфигурацией сервера. Чтобы выявить причину ошибки 500, попробуйте поочередно отключить или удалить программные дополнения.

И напротив, если вы недавно обновили ПО, текущие плагины и темы могут оказаться несовместимы с обновлением. Деактивация дополнений по порядку — лучший способ найти основную причину проблемы.

Увеличить объем оперативной памяти сервера

Лимит памяти определяет, какой ее объем может задействовать процесс. Если какой-либо процесс требует больше памяти, чем доступно, может возникать ошибка 500.

Чтобы это исправить, можно временно увеличить лимит памяти. Для этого добавьте в php.ini команду, подобную этой: memory_limit = 512M. Этот пример устанавливает лимит на 512 МБ.

Учитывайте, что хостинг-провайдер допускает лишь определенный лимит сеанса PHP в рамках используемого вами пакета. Если будет введено большее значение, сервер проигнорирует его. Также помните, что это лишь временное решение: как только сайт заработает, потребуется выяснить причину высокого потребления памяти. Высока вероятность, что в коде содержится ошибка.

Если ни один из этих способов не помог, стоит связаться с хостинг-провайдером. Но прежде чем сделать это, проверьте состояние серверов: при возникновении проблем многие провайдеры сообщают эту информацию на странице состояния или в социальных сетях.

В статье использовались материалы следующих источников:

Blog.hubspot.com

Ionos.com

Businessinsider.com

Lifewire.com

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Источник

Настройка браузера для ГИИС ДМДК

Что означает код ошибки 500 и почему она возникает?

Где можно встретить ошибку 500?

Все причины возникновения ошибки

Что делать при появлении ошибки?

Подождать

Сообщить администратору

Что делать администратору при появлении ошибки?

Проверить файл htaccess

Проверить лог ошибок

Проверить содержимое CGI-скриптов

Проверить плагины и компоненты

Увеличить объем оперативной памяти сервера

Читайте также: