The OpenNET Project
 
Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
  WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Защищенный канал связи используя stunnel 
Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4. 
Выбрал самый легкий путь для моих условий: поставить stunnel. 
Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак:

1) portupgrade -fN stunnel

2) такой скрипт для создания самоподписанного ssl сертификата:

   !/bin/sh
   openssl genrsa -des3 -out ca.key 1024
   openssl req -new -x509 -days 365 -key ca.key -out ca.crt
   openssl req -new -nodes -out req.pem -keyout cert.pem
   chmod 600 cert.pem
   chown root:0 cert.pem
   openssl x509 -req -CA ca.crt -CAkey ca.key -days 365 -in req.pem -out signed-req.pem -CAcreateserial
   cat signed-req.pem >> cert.pem
   echo Сертификат готов в файле : cert.pem

3) копируем cert.pem в /usr/local/etc/stunnel

4) правим /usr/local/etc/stunnel/stunnel.conf

5) запускаем stunnel и коннектимся к адресу:порту
 
01.08.2005 , Автор: Wely
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ RSS ]
 
  • 1.1, HexZs, 08:57, 03/08/2005 [ответить] [смотреть все]
    		• +/
    Любопытно, а в wifi локалке будет это функционировать?
    Если да то как такую штуку осуществить?
    Спасибо.
     
     
  • 2.3, AborMot, 04:53, 11/08/2005 [^] [ответить] [смотреть все]
    		• +/
    Будет, разумеется!
    stunnel это протокольный уровень, а wifi - канальный. Ты модель OSI почитай.
     
  • 1.7, serge, 20:34, 23/08/2005 [ответить] [смотреть все]
    		• +/
    > такой скрипт для создания самоподписанного ssl сертификата:
    скрипт сложноват. И, что более существенно, у меня по нему сгенерился сертификат с "битой" подписью, которую же он (openssl) сам и не признает. Сгенерилось неправильно на 2 машинах: suse (OpenSSL 0.9.7b) и rh (OpenSSL 0.9.7g)
    правильный сертификат был получен так:

    openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout cert.pem  -out cert.pem

     
     
  • 2.8, apollo_v, 10:36, 03/10/2005 [^] [ответить] [смотреть все]
    		• +/
    Работает, я проверил, просто предварительно у криента надо прописать и положить сертификат центра сертификации, в нашем случае это ca.crt, а в вашем случае генерируется действительно самоподписанный сертификат, который не всегда всех может устроить.
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:
     Добавить заметку
     Версия для печати
     
     Поиск заметки:
     

    Последние заметки
    - 12.05 Организация шифрованного бэкапа с помощью rdiff-backup, encfs и Dropbox
    - 11.05 Настройка беспроводного соединения в Debian GNU/Linux
    - 07.05 Использование Google Drive в Linux
    - 18.04 Использование нескольких сетевых стеков в Linux
    - 15.04 Восстановление стандартного KDE меню после его удаления (например, wine)
    - 11.04 Настройка gmirror при использовании GPT во FreeBSD 9
    - 09.04 Маршрутизатор на базе FreeBSD с приоритизация трафика средствами PF и ALTQ
    - 02.04 Частичное восстановление данных MySQL из бэкапа, созданного с использованием LVM
    - 21.03 Настройка DNSSEC в BIND 9.9
    - 17.03 Набор номера на Cisco IP Phone 7960/7940 из скрипта
    RSS | Следующие 15 записей >>


    ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012!

    Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

    Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

    Оформить подписку на год


      Закладки на сайте
      Проследить за страницей     		Created 1996-2012 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList