#language cs ---- '''česky | [[StunnelConfiguration|english]] ---- Viz také web [[http://www.stunnel.org/|Stunnel.org]]. == Konfigurace strany klienta == Stáhněte si certifikát CAcert ve formátu PKCS12 (obsahuje veřejný i privátní klíč) a konvertujte ho do formátu PEM pomocí OpenSSL: ''openssl pkcs12 -clcerts -in cacert.p12 -out mycert.pem'' Přesuňte výstupní soubor mycert.pem do svého adresáře s konfigurací Stunnel. Budete také potřebovat soubor řetězu certifikátů - tento soubor musí být vytvořen na straně serveru. Viz sekci ''Server configuration'' níže. Pojmenujte tento soubor ca-chain.pem a přesuňte ho také do adresáře s konfigurací Stunnel. Zde je příklad konfigurace klientské strany stunnel.conf: {{{ # Tento konfigurační soubor nastaví stunnel jako klient. # # Globální nastavení # # Soubor certifikační autority CAfile = ca-chain.pem # Váš klientský certifikát ve formátu PEM. cert = mycert.pem # Soubor s privátním klíčem. key = mycert.pem # Klientský režim? (vzdálená služba používá SSL) client = yes # Úroveň ladicích výpisů (0=nic, 7=mnoho)|| debug = 5 # Úroveň ověření vzdálených certifikátů verify = 2 # Některé příklady definic pro služby, které běží na našem místním počítači (localhost) # Více příkladů lze najít na webu Stunnel.org. # Služba IMAP [stunnel.imap] accept = localhost:143 connect = stunnel.example.com:993 # Služba SMTP [stunnel.smtp] accept = localhost:25 connect = stunnel.example.com:587 protocol = smtp # Služba SSH [stunnel.ssh] accept = localhost:22 connect = stunnel.example.com:8022 }}} == Konfigurace serveru == '''Informace, jak generovat řetěz certifikátů a jak použít Váš serverový certifikát, budou přidány později''' Na straně serveru budete potřebovat adresář, kde bude potřeba uložit důvěryhodné klientské certifikáty ('''ale ne privátní klíče!'''). Ukládejte důvěryhodné certifikáty ve formátu PEM do tohoto adresáře a generujte haš tohoto certifikátu. Haš lze vytvořit tímto skriptem pro ''/bin/sh'': ''cd /path/to/trusted/certs/'' ''HASHVALUE=`/usr/bin/openssl x509 -noout -hash -in "trustedcert.pem"`'' ''ln -s "trustedcert.pem" ${HASHVALUE}.0'' Odpovídající konfigurační soubor serveru Stunnel bude vypadat asi takto: {{{ # Konfigurační soubor pro použití Stunnel jako serveru # # Globální nastavení # # Soubor certifikační autority CAfile = /path/to/cacert_root.crt # Cesta k důvěryhodným certifikátům CApath = /path/to/trusted/certs/ # Úroveň ladicích výpisů (0=nic, 7=mnoho) debug = 7 # Úroveň ověření vzdálených certifkátů verify = 3 cert = /usr/local/etc/stunnel/ssl.key/stunnel.insecure.pem key = /usr/local/etc/stunnel/ssl.key/stunnel.insecure.pem pid = /usr/local/var/stunnel/stunnel.pid setuid = stunnel setgid = stunnel # Mezipaměť relace (session-cache) session = 86400 # Služba IMAP [stunnel.imaps] accept = :993 connect = imapserver.example.com:143 # Služba SMTP [stunnel.smtp] accept = :587 connect = smtp.example.com:25 protocol = smtp # Služba SSH [stunnel.ssh] accept = :8022 connect = sshhost.example.com:22 }}} V klientské e-mailové aplikaci můžete nyní změnit název Vašeho serveru IMAP na "localhost" a název Vašeho serveru SMTP také. E-mailový klient se spojí s Vaším místním démonem Stunnel, ten vytvoří spojení SSL ke vzdálenému serveru Stunnel (stunnel.example.com) a server Stunnel vytvoří ne-SSL spojení k původním serverům IMAP a SMTP. ---- . CategorySoftware . CategoryConfiguration