注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

linux下使用Stunnel配置与使用方式一例  

2013-09-26 17:23:07|  分类: linux遂道技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
第一部分:stunnel的安装与配置

注:在ubuntu下,stunnel的安装很简单快捷。

synaptic(安立得工具系统下可以直接选举安装,如图示1

2013年09月26日 - lzdzhy-itoedr - itoedr的it学苑
 

在服务器环境下,直接使用apt-get install stunnel4即可。

2013年09月26日 - lzdzhy-itoedr - itoedr的it学苑
  2



第二部分:stunnel的配置

(服务器端和客户端的配置两个方面,stunnel 客户方式不需要证书。stunnel 服务方式需要一个证书文件。)

  1. 服务器侧的配置(server config

    (编辑:如nanovi /etc/stunnel/stunnel.conf

    1. compression=zlib

    2. syslog=yes

    3. debug=7

    4. output=/var/log/stunnel.log

    5. setuid=root

    6. setgid=root

    7. pid=/var/run/stunnel.pid

    8. cert=/etc/stunnel/stunnel.pem

    9. key=/etc/stunnel/stunnel.pem

    10. client=no #注意与客户端一侧的比较

    11. [squid] #这里是为SQUID项目准备

    12. accept=8000

    13. connect=127.0.0.1:8080

    注意事项:setuid需要有可以读写/var/run/stunnel.pid的权限。

    服务侧配置的其它说明:

connect:远程服务器的IP地址和端口?

client:告诉stunnel这个配置是client配置?

cert:连接是提供给对方的安全证书?服务器端发送给客户端的安全认证?因为我们的客户端不验证这个证书,所以使用标准的stunnel证书就可以;

accept:接受连接请求的端口(应该和客户端一致)

verify:验证级别;

1-表示如果客户提供安全证书则验证安全证书?

2-表示客户必须提供安全证书并验证安全证书,此模式适合于从CA处购买的安全证书?

3-表示客户必须提供安全证书并根本本地CAPathCRLpath来验证证书是否合法,当然多选3


  1. 客户端一侧的(client) 配置

    (编辑:/etc/stunnel/stunnel.conf,注意与服务器端的比较)

    1. client=yes

    2. pid=/tmp/stunnel.pid

    3. debug=7

    4. foreground=no

    5. verify=0

    6. [squid] #这里是为SQUID项目准备,对应服务器端的配置

    7. accept=127.0.0.1:9999 #接受来自客户端的请求

    8. connect=server-IP:8000

    说明:stunnel 客户方式不需要证书。stunnel 服务方式需要一个证书文件。

第三部分:Stunnel加密通道认证证书的自建(配置Stunnel.生成Stunnel.pem这个自验证加密文件的过程)

回顾配置Stunnel.conf文件.


cert=stunnel.pem ; #密文

key = stunnel.pem ; #自验证文件

taskbar=yes ; #是否在系统栏显示图标

client=no ; #服务端/客户端选择

[http2ssl] ; #一个服务项目开始

accept = 8384 ; ##对外服务端口 ,注意与CONNECT的端口区别

connect = 127.0.0.1:8080 ; ##本地连接服务端口


[socks2ssl] ; #另一个服务项目开始,其他同.

accept = 9394

connect = 127.0.0.1:1080


这样,配合客户端的Stunnel就可以进行SSL加密的通讯了.


注:$Stunnel -install #可以把Stunnel安装成服务模式.


如果要生成自己的服务端证书:我们使用OPENSSL来生成我们自己的认证文件。


附:使用openssl来生成主认证书的过程


1)创建服务器证书

说明:stunnel 客户方式不需要证书。stunnel 服务方式需要一个证书文件。

stunnel SSL Http Proxy 服务器是以服务方式运行的,所以必须要有一个证书。在windows下通过 openssl.exe 创建服务器证书,在linux下使用openssl来完成工作。
2013年09月26日 - lzdzhy-itoedr - itoedr的it学苑
 openssl生成认证文 件的过程

关于创建stunnel 证书的说明如下:

(参考运行下面的命令)

openssl req -new -x509 -days 365 -nodes -config openssl.cnf -out stunnel.pem -keyout stunnel.pem


命令串的作用:这命令将会创建一个签名的证书。


其中参数的含义:

-days 365 #使这个证书的有效期是1年,之后失效,借此可用以来发布许可证书。

-new #创建一个新的证书

-x509 #创建一个 X509 证书

-nodes #这个证书没有密码 ,严格的情况下就加密了。

-config openssl.cnf OpenSSL 使用的配置文件

(可能需要修改的有[CA_default][req_distinguished_name]这两个 section

-out stunnel.pem #把 SSL 证书写到哪个文件

-keyout stunnel.pem #把 SSL key放到这个文件中 (也可以是其它文件)


这个命令串将会问一些问题: (回答示范如下)


Country name PL, UK, US, CA

State or Province name Illinois, Ontario

Locality Chicago, Toronto

Organization Name Bill's Meats, Acme Anvils

Organizational Unit Name Ecommerce Division

Common Name (FQDN) www.example.com

      注意:Common Name (FQDN) 应该是运行 stunnel 机器的主机名。如果你能通过不同的主机名访问这台机器,有些 SSL 客户会警告这个主机的证书有问题,所以最好是使它和用户访问的主机名匹配。

openssl gendh 512>> stunnel.pem

#这将生成 Diffie-Hellman 部分, 追加到 pem 文件中。这个只有在你指定 stunnel 使用 DH 才需要, 但默认是不用的。(实际上留下较好)


openssl x509 -subject -dates -fingerprint -in stunnel.pem

#这个命令是将你的证书信息在屏幕显示出来,你可以在此验证一下。


附:另一个openssl req建立认证证书的例子(本例子用于设立novnc的https访问中用到).

openssl req -new -x509 -days 365 -nodes -out self.pem -keyout self.pem

  评论这张
 
阅读(1389)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017