Назад | Перейти на главную страницу

stunnel: SSL-to-SSL? (для smtp / imap)

Как я могу настроить stunnel для принятия SSL-соединений, а затем подключиться к SSL-порту на другом сервере?

Вот моя установка:

Сервер нашего интернет-провайдера, «Почтовый сервер», поддерживает smtp / imap через SSL. (Не starttls. Чуть больше ssl.)

Но у меня есть несколько клиентских машин, которые доверяют только определенному внутреннему корневому сертификату. Таким образом, они могут не подключиться к «Почтовому серверу».

Для этих клиентских машин я хотел бы создать выделенный хост «Mail Tunnel», который использует stunnel для прослушивания с внутренним подписанным SSL-сертификатом и просто пересылает данные на «Mail Server», используя второе SSL-соединение.

Это можно сделать?

Каковы были бы конкретные шаги для Ubuntu Server 10.10? (Я не слишком знаком с постоянной конфигурацией службы.)

Спасибо

Я не знаком со спецификой 10.10, но предполагаю, что она довольно близка к Debian.

Единственное, что вы могли бы сделать, - это в основном настроить отдельные конфигурации stunnel. Он принимает SSL и пересылает его на локальный порт, а другой - на этот локальный порт, а затем устанавливает SSL-соединения с внешним хостом. Эти два могут быть привязаны к интерфейсу обратной связи только так, чтобы незашифрованные данные не передавались по сети. Просто имейте в виду, что вы в основном выполняете атаку MITM против себя. Я использовал подобную установку, когда помогал диагностировать некоторые проблемы с веб-службой, которую разработал парень.

Пакетная версия stunnel в Debian / Ubuntu должна упростить это. Сценарии запуска в основном запускают экземпляр stunnel для каждого файла конфигурации (* .conf), найденного в / etc / stunnel4. Таким образом, вы можете поместить две отдельные конфигурации в / etc / stunnel4, сгенерировать ключи, перезапустить stunnel, и он должен работать.

Итак, вот первая конфигурация, которая принимает SSL

; /etc/stunnel/ssl_in.conf
; Certificate/key is needed in server mode and optional in client mode
cert = /etc/stunnel/srv1.keys

; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4

; PID is created inside chroot jail
pid = /srv1.pid

debug = 4
output = /var/log/stunnel4/ssl_in.log

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

[ssl_in_imap]
accept  = 993
connect = localhost:10993

[ssl_in_smtp]
accept  = 587
connect = localhost:10587

Ваш второй экземпляр, который создает исходящие соединения.

; /etc/stunnel/ssl_out.conf
; Some security enhancements for UNIX systems - comment them out on Win32
chroot = /var/lib/stunnel4/
setuid = stunnel4
setgid = stunnel4

; PID is created inside chroot jail
pid = /clt1.pid

; Some performance tunings
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

client=yes
CAfile = clt1.ca
verify = 0


[ssl_out_imap]
accept  = 10993
connect = remote_server:993

[ssl_out_smtp]
accept  = 10587
connect = remote_server:10587

Чтобы сгенерировать filename.keys для сервера.

# Create a new key and preparte a CSR 
openssl req -new -keyout filename.pem -out filename.csr
# Remove the passphrase from the key
openssl rsa -in filename.pem -out filename.key
# Self sign
openssl x509 -in filename.csr -out filename.cert -req -signkey filename.key -days 720
# combine files to get the keys file stunnel needs.
cat filename.key filename.cert > filename.keys

Ваш файл будет выглядеть так.

-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDkwzyKrPRXGyvEgITm/7oC9fDU4Y7L9mtMXmcIR98cp0g1ndcz
...
qhP3y97k67EVdSC+92pIGrAL7kBWckpJ2HP1El4KeZg=
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIICHzCCAYgCCQDq/33qh7Dq5TANBgkqhkiG9w0BAQUFADBUMQswCQYDVQQGEwJV
...
ebbhvhYLx1KkhD8/dXEbU0+kNg==
-----END CERTIFICATE-----