Мы используем stunnel, настроенный для предоставления SSL-туннеля между СЕРВЕРОМ A (где stunnel настроен как клиент) и многими СЕРВЕРАМИ B (где мы развернули stunnel, настроенный для работы в режиме сервера).
Мы используем самоподписанные сертификаты как для клиентского, так и для серверного stunnel. У нас также есть опция «verify = 3» в обоих местах. В этой конфигурации все работает. Все серверы работают под управлением Windows (разные версии - WS2008, WS2003).
Теперь мы сталкиваемся с проблемами, когда мы должны правильно поставить подписанный CA сертификат на НЕКОТОРЫЕ из СЕРВЕРОВ B. Мы также хотим минимизировать изменения, которые нам нужно сделать на СЕРВЕРЕ A. Это означает, что в идеале мы будем заменять самозаверяющий сертификат действительным подписанным CA по одному на серверах B по одному, и мы не хотим менять сервер Конфигурация каждый раз.
Правильный ли подход здесь - изменение опции «проверить» на 2 на сервере? Нам также, вероятно, придется добавить сетевое решение или другие корневые сертификаты в цепочку проверки сервера A, верно? Или мы что-то здесь упускаем и так не получится?