česky | english
Viz také web Stunnel.org.
Konfigurace strany klienta
Stáhněte si certifikát CAcert ve formátu PKCS12 (obsahuje veřejný i privátní klíč) a konvertujte ho do formátu PEM pomocí OpenSSL:
openssl pkcs12 -clcerts -in cacert.p12 -out mycert.pem
Přesuňte výstupní soubor mycert.pem do svého adresáře s konfigurací Stunnel. Budete také potřebovat soubor řetězu certifikátů - tento soubor musí být vytvořen na straně serveru. Viz sekci Server configuration níže. Pojmenujte tento soubor ca-chain.pem a přesuňte ho také do adresáře s konfigurací Stunnel.
Zde je příklad konfigurace klientské strany stunnel.conf:
# Tento konfigurační soubor nastaví stunnel jako klient. # # Globální nastavení # # Soubor certifikační autority CAfile = ca-chain.pem # Váš klientský certifikát ve formátu PEM. cert = mycert.pem # Soubor s privátním klíčem. key = mycert.pem # Klientský režim? (vzdálená služba používá SSL) client = yes # Úroveň ladicích výpisů (0=nic, 7=mnoho)|| debug = 5 # Úroveň ověření vzdálených certifikátů verify = 2 # Některé příklady definic pro služby, které běží na našem místním počítači (localhost) # Více příkladů lze najít na webu Stunnel.org. # Služba IMAP [stunnel.imap] accept = localhost:143 connect = stunnel.example.com:993 # Služba SMTP [stunnel.smtp] accept = localhost:25 connect = stunnel.example.com:587 protocol = smtp # Služba SSH [stunnel.ssh] accept = localhost:22 connect = stunnel.example.com:8022
Konfigurace serveru
Informace, jak generovat řetěz certifikátů a jak použít Váš serverový certifikát, budou přidány později Na straně serveru budete potřebovat adresář, kde bude potřeba uložit důvěryhodné klientské certifikáty ( cd /path/to/trusted/certs/ HASHVALUE=/usr/bin/openssl x509 -noout -hash -in "trustedcert.pem" ln -s "trustedcert.pem" ${HASHVALUE}.0 Odpovídající konfigurační soubor serveru Stunnel bude vypadat asi takto: V klientské e-mailové aplikaci můžete nyní změnit název Vašeho serveru IMAP na "localhost" a název Vašeho serveru SMTP také. E-mailový klient se spojí s Vaším místním démonem Stunnel, ten vytvoří spojení SSL ke vzdálenému serveru Stunnel (stunnel.example.com) a server Stunnel vytvoří ne-SSL spojení k původním serverům IMAP a SMTP. # Konfigurační soubor pro použití Stunnel jako serveru
#
# Globální nastavení
#
# Soubor certifikační autority
CAfile = /path/to/cacert_root.crt
# Cesta k důvěryhodným certifikátům
CApath = /path/to/trusted/certs/
# Úroveň ladicích výpisů (0=nic, 7=mnoho)
debug = 7
# Úroveň ověření vzdálených certifkátů
verify = 3
cert = /usr/local/etc/stunnel/ssl.key/stunnel.insecure.pem
key = /usr/local/etc/stunnel/ssl.key/stunnel.insecure.pem
pid = /usr/local/var/stunnel/stunnel.pid
setuid = stunnel
setgid = stunnel
# Mezipaměť relace (session-cache)
session = 86400
# Služba IMAP
[stunnel.imaps]
accept = <ip-address of server>:993
connect = imapserver.example.com:143
# Služba SMTP
[stunnel.smtp]
accept = <ip-address of server>:587
connect = smtp.example.com:25
protocol = smtp
# Služba SSH
[stunnel.ssh]
accept = <ip-address of server>:8022
connect = sshhost.example.com:22