Защищенный канал связи используя stunnel |
[исправить] |
Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4.
Выбрал самый легкий путь для моих условий: поставить stunnel.
Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак:
1) portupgrade -fN stunnel
2) такой скрипт для создания самоподписанного ssl сертификата:
!/bin/sh
openssl genrsa -des3 -out ca.key 1024
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
openssl req -new -nodes -out req.pem -keyout cert.pem
chmod 600 cert.pem
chown root:0 cert.pem
openssl x509 -req -CA ca.crt -CAkey ca.key -days 365 -in req.pem -out signed-req.pem -CAcreateserial
cat signed-req.pem >> cert.pem
echo Сертификат готов в файле : cert.pem
3) копируем cert.pem в /usr/local/etc/stunnel
4) правим /usr/local/etc/stunnel/stunnel.conf
5) запускаем stunnel и коннектимся к адресу:порту
|
|
|
|
Раздел: Корень / Безопасность / Шифрование, PGP |
1.1, HexZs (?), 08:57, 03/08/2005 [ответить]
| +/– |
Любопытно, а в wifi локалке будет это функционировать?
Если да то как такую штуку осуществить?
Спасибо. | |
|
2.3, AborMot (?), 04:53, 11/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
Будет, разумеется!
stunnel это протокольный уровень, а wifi - канальный. Ты модель OSI почитай. | |
|
1.7, serge (??), 20:34, 23/08/2005 [ответить]
| +/– |
> такой скрипт для создания самоподписанного ssl сертификата:
скрипт сложноват. И, что более существенно, у меня по нему сгенерился сертификат с "битой" подписью, которую же он (openssl) сам и не признает. Сгенерилось неправильно на 2 машинах: suse (OpenSSL 0.9.7b) и rh (OpenSSL 0.9.7g)
правильный сертификат был получен так:
openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout cert.pem -out cert.pem | |
|
2.8, apollo_v (?), 10:36, 03/10/2005 [^] [^^] [^^^] [ответить]
| +/– |
Работает, я проверил, просто предварительно у криента надо прописать и положить сертификат центра сертификации, в нашем случае это ca.crt, а в вашем случае генерируется действительно самоподписанный сертификат, который не всегда всех может устроить. | |
|
|