Stunnel
Stunnel позволяет обеспечить безопасное соединение для передачи зашифрованного трафика между клиентом и сервером.
На клиенте и на сервере должен быть установлен Stunnel и использован один и тот же сертификат.
Для конфигурации хранилища сертификатов необходимо ввести следующие команды:
set pki certificate <namecertserver> certificate <ExampleContentServCert>где:
<namecertserver> – имя сертификата. В качестве примера использовано имя «Server»;
<ExampleContentServCert> – содержимое файла «Server.pem» следует вводить без строк «BEGIN CERTIFICATE» и «END CERTIFICATE», без пробелов и переносов строк.
set pki certificate <namekeyserver> private key <ExampleContentServKey>где:
<namekeyserver> – имя ключа. В качестве примера использовано имя «Server»;
<ExampleContentServKey> – содержимое файла «Server.key» следует вводить без строк «BEGIN CERTIFICATE» и «END CERTIFICATE», без пробелов и переносов строк.
Общие настройки stunnel
Для указания уровня журналирования необходимо ввести следующую команду:
set service stunnel global-parameters debug-level <number>где <number> – уровень журналирования. Приведён в качестве примера.
Возможно журналирование с указанием следующих уровней:
«0» – «emerg» – чрезвычайная ситуация;
«1» – «alert» – тревога;
«2» – «crit» – критическое состояние;
«3» – «err» – ошибка;
«4» – «warning» – предупреждение;
«5» – «notice» – извещение;
«6» – «info» – информация;
«7» – «debug» – отладка.
Для добавления в системный журнал, системных сообщений необходимо ввести следующую команду:
set service stunnel global-parameters syslog
Для указания глобального сертификата центра сертификации для всех конфигураций необходимо ввести следующую команду:
set service stunnel global-parameters ca-certificate <nameCA>где <nameCA> – имя сертификата центра сертификации.
Для создания конфигурации необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName>где <ConfigName> – имя конфигурации.
Для указания порта, на котором прослушивается входящий трафик необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName> accept-port <port>где <port> – порт.
Для указания адреса, на котором прослушивается входящий трафик необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName> accept-address <IP-address>где <IP-address> – IP-адрес. Возможно указание в следующих форматах: <x.x.x.x> и <x.x.x.x/x>.
Для указания порта, на который направляется входящий трафик с порта прослушивания необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName> connect-port <port>где <port> – порт.
Для указания адреса, на который направляется входящий трафик необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName> connect-address <IP-address>где <IP-address> – IP-адрес. Возможно указание в следующих форматах: <x.x.x.x> и <x.x.x.x/x>.
Для проверки сертификата необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName> verify-level <num>где <num> – уровень проверки.
Возможно указание следующих значений:
«0» – не проверять;
«1» – проверять при наличии;
«2» – проверять всегда.
Для подтверждения, что машина является клиентом необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName> is-client yesгде «yes» – в случае, если машина является клиентом.
По умолчанию используется значение «no» для настройки сервера.
Для указания имени сертификата, который будет подписывать трафик необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName> certificate <namecertserver>где <namecertserver> – имя сертификата, заданного при настройке PKI.
Для указания имени сертификата центра сертификации необходимо ввести следующую команду:
set service stunnel configuration-name <ConfigName> ca-certificate <nameCA>где <nameCA> – имя сертификата центра сертификации, заданного при настройке PKI.