Viz také web Stunnel.org.

Konfigurace strany klienta

Stáhněte si certifikát CAcert ve formátu PKCS12 (obsahuje veřejný i privátní klíč) a konvertujte ho do formátu PEM pomocí OpenSSL:

  • openssl pkcs12 -clcerts -in cacert.p12 -out mycert.pem

Přesuňte výstupní soubor mycert.pem do svého adresáře s konfigurací Stunnel. Budete také potřebovat soubor řetězu certifikátů - tento soubor musí být vytvořen na straně serveru. Viz sekci Server configuration níže. Pojmenujte tento soubor ca-chain.pem a přesuňte ho také do adresáře s konfigurací Stunnel.

Zde je příklad konfigurace klientské strany stunnel.conf:

# Tento konfigurační soubor nastaví stunnel jako klient.
#
# Globální nastavení
#

# Soubor certifikační autority
CAfile = ca-chain.pem

# Váš klientský certifikát ve formátu PEM.
cert = mycert.pem

# Soubor s privátním klíčem.
key = mycert.pem

# Klientský režim? (vzdálená služba používá SSL)
client = yes

# Úroveň ladicích výpisů (0=nic, 7=mnoho)||
debug = 5

# Úroveň ověření vzdálených certifikátů
verify = 2

# Některé příklady definic pro služby, které běží na našem místním počítači (localhost)
# Více příkladů lze najít na webu Stunnel.org.

# Služba IMAP
[stunnel.imap]
accept = localhost:143
connect = stunnel.example.com:993

# Služba SMTP
[stunnel.smtp]
accept = localhost:25
connect = stunnel.example.com:587
protocol = smtp

# Služba SSH
[stunnel.ssh]
accept = localhost:22
connect = stunnel.example.com:8022

Konfigurace serveru

Informace, jak generovat řetěz certifikátů a jak použít Váš serverový certifikát, budou přidány později

Na straně serveru budete potřebovat adresář, kde bude potřeba uložit důvěryhodné klientské certifikáty (ale ne privátní klíče!). Ukládejte důvěryhodné certifikáty ve formátu PEM do tohoto adresáře a generujte haš tohoto certifikátu. Haš lze vytvořit tímto skriptem pro /bin/sh:

Odpovídající konfigurační soubor serveru Stunnel bude vypadat asi takto:

# Konfigurační soubor pro použití Stunnel jako serveru
#
# Globální nastavení
#

# Soubor certifikační autority
CAfile = /path/to/cacert_root.crt

# Cesta k důvěryhodným certifikátům
CApath = /path/to/trusted/certs/

# Úroveň ladicích výpisů (0=nic, 7=mnoho)
debug = 7

# Úroveň ověření vzdálených certifkátů
verify = 3

cert = /usr/local/etc/stunnel/ssl.key/stunnel.insecure.pem
key = /usr/local/etc/stunnel/ssl.key/stunnel.insecure.pem

pid = /usr/local/var/stunnel/stunnel.pid
setuid = stunnel
setgid = stunnel

# Mezipaměť relace (session-cache)
session = 86400

# Služba IMAP
[stunnel.imaps]
accept = <ip-address of server>:993
connect = imapserver.example.com:143

# Služba SMTP
[stunnel.smtp]
accept = <ip-address of server>:587
connect = smtp.example.com:25
protocol = smtp

# Služba SSH
[stunnel.ssh]
accept = <ip-address of server>:8022
connect = sshhost.example.com:22

V klientské e-mailové aplikaci můžete nyní změnit název Vašeho serveru IMAP na "localhost" a název Vašeho serveru SMTP také. E-mailový klient se spojí s Vaším místním démonem Stunnel, ten vytvoří spojení SSL ke vzdálenému serveru Stunnel (stunnel.example.com) a server Stunnel vytvoří ne-SSL spojení k původním serverům IMAP a SMTP.


StunnelConfiguration/CZ (last edited 2015-03-31 16:51:48 by AlesKastner)