The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Защищенный канал связи используя stunnel
Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4. 
Выбрал самый легкий путь для моих условий: поставить stunnel. 
Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак:

1) portupgrade -fN stunnel

2) такой скрипт для создания самоподписанного ssl сертификата:

   !/bin/sh
   openssl genrsa -des3 -out ca.key 1024
   openssl req -new -x509 -days 365 -key ca.key -out ca.crt
   openssl req -new -nodes -out req.pem -keyout cert.pem
   chmod 600 cert.pem
   chown root:0 cert.pem
   openssl x509 -req -CA ca.crt -CAkey ca.key -days 365 -in req.pem -out signed-req.pem -CAcreateserial
   cat signed-req.pem >> cert.pem
   echo Сертификат готов в файле : cert.pem

3) копируем cert.pem в /usr/local/etc/stunnel

4) правим /usr/local/etc/stunnel/stunnel.conf

5) запускаем stunnel и коннектимся к адресу:порту
 
01.08.2005 , Автор: Wely
Ключи: ssl, tunnet, crypt, cert, stunnel / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ RSS ]
  • 1.1, HexZs (?), 08:57, 03/08/2005 [ответить]  
  • +/
    Любопытно, а в wifi локалке будет это функционировать?
    Если да то как такую штуку осуществить?
    Спасибо.
     
     
  • 2.3, AborMot (?), 04:53, 11/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Будет, разумеется!
    stunnel это протокольный уровень, а wifi - канальный. Ты модель OSI почитай.
     

  • 1.7, serge (??), 20:34, 23/08/2005 [ответить]  
  • +/
    > такой скрипт для создания самоподписанного ssl сертификата:
    скрипт сложноват. И, что более существенно, у меня по нему сгенерился сертификат с "битой" подписью, которую же он (openssl) сам и не признает. Сгенерилось неправильно на 2 машинах: suse (OpenSSL 0.9.7b) и rh (OpenSSL 0.9.7g)
    правильный сертификат был получен так:

    openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout cert.pem  -out cert.pem

     
     
  • 2.8, apollo_v (?), 10:36, 03/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Работает, я проверил, просто предварительно у криента надо прописать и положить сертификат центра сертификации, в нашем случае это ca.crt, а в вашем случае генерируется действительно самоподписанный сертификат, который не всегда всех может устроить.
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру