<div dir="ltr"><div>The latest version of stunnel is 5.50. Do you really use version 3.50 ?</div><div><br></div><div>Flo<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 15, 2019 at 8:14 AM <<a href="mailto:pepak@seznam.cz">pepak@seznam.cz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>
<br>
I have encountered a bug in Stunnel version 3.50. I have a setup with <br>
two computers (Server and Client) connected using Stunnel. The client is <br>
using a hardware token through the CAPI engine to authenticate itself to <br>
a server, using a config file:<br>
<br>
-----<br>
fips = no<br>
taskbar = yes<br>
options = NO_SSLv2<br>
options = NO_SSLv3<br>
sslVersion = TLSv1.2<br>
engine = capi<br>
<br>
[my-server]<br>
client = yes<br>
accept = 22<br>
connect = <a href="http://my.server.com:1234" rel="noreferrer" target="_blank">my.server.com:1234</a><br>
requireCert = yes<br>
verifyChain = yes<br>
verifyPeer = yes<br>
CAfile = my-cert-chain.pem<br>
engineId = capi<br>
-----<br>
<br>
This setup works perfectly in Stunnel 3.49: When I try to connect to <br>
localhost:22, I receive a request to select a certificate and enter its <br>
PIN, and if successful, a connection to my server is established.<br>
<br>
In Stunnel 3.50, the connection fails to complete. The Stunnel log shows:<br>
<br>
LOG5[0]: Service [my-server] accepted connection from <a href="http://127.0.0.1:49713" rel="noreferrer" target="_blank">127.0.0.1:49713</a><br>
LOG5[0]: s_connect: connected <a href="http://1.2.3.4:1234" rel="noreferrer" target="_blank">1.2.3.4:1234</a><br>
LOG5[0]: Service [my-server] connected remote server from <a href="http://10.11.12.13:49714" rel="noreferrer" target="_blank">10.11.12.13:49714</a><br>
LOG5[0]: Certificate accepted at depth=0: CN=My server<br>
LOG3[0]: error queue: 141F0006: error:141F0006:SSL <br>
routines:tls_construct_cert_verify:EVP lib<br>
LOG3[0]: SSL_connect: 8006F074: <br>
error:8006F074:lib(128):capi_rsa_priv_enc:function not supported<br>
LOG5[0]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket<br>
<br>
However, if I change the engine to the default one and use a certificate <br>
in file, everything works fine. That suggests to me that the problem <br>
lies in the Stunnel's CAPI engine library.<br>
<br>
It is quite possible the problem is caused by the CAPI engine itself. I <br>
was experimenting with OpenSSL 1.1.1a some time back, trying to compile <br>
my own library files, and I just couldn't to get CAPI to work at all - <br>
the libraries themselves compiled OK and worked fine, but the CAPI <br>
engine just wouldn't work (while it was OK with OpenSSL 1.0.2q); the <br>
only way I could get CAPI to work with OpenSSL 1.1.1a was to use the <br>
1.1.1a libraries and the 1.0.2q capi.dll. However, I am far from an <br>
expert on compiling OpenSSL, so I may have gotten it completely wrong.<br>
<br>
Could someone please verify that their CAPI engine is working with <br>
Stunnel? Also, it may be worth trying to compile a 64bit CAPI.dll from <br>
version 1.0.2q just to see if it might start working - in that case, a <br>
bug report to OpenSSL may be in order.<br>
<br>
Thanks.<br>
<br>
pepak<br>
_______________________________________________<br>
stunnel-users mailing list<br>
<a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>
<a href="https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users" rel="noreferrer" target="_blank">https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users</a><br>
</blockquote></div>