Задать вопрос
@ivvanptr
vpn

Как сделать правильное шифрование stunnel?

До этого cо stunnel не сталкивался, делал по man'у, но особо в него не вникал.
В мане достаточно много различных вариантов шифрования.

К примеру тут человек генерирует и cert и key и какой-то CAfile
вот так

cert = /etc/stunnel/certs/server.crt
key = /etc/stunnel/certs/server.key
CAfile = /etc/stunnel/certs/clients.pem

Нужно ли с этим так заморачиваться или достаточно просто сгенерировать 1 файл stunnel.pem
такой командой

cd /etc/stunnel/
sudo -s
openssl genrsa -out key.pem 2048
openssl req -new -x509 -key key.pem -out cert.pem
cat key.pem cert.pem >> stunnel.pem
rm key.pem cert.pem
exit

Просто в гугле нашел много разных подходов, кто-то целых три ключа использует, а кто-то 1 файл stunnel.pem
В чем отличие помогите разобраться пожалуйста.

Также у меня вопрос относительно параметра TCP_NODELAY который может помочь с медленным соединением, на оф сайте сказано https://www.stunnel.org/faq.html прописать клиенту и серверу socket = r:TCP_NODELAY=1
Но вот как быть, если у меня несколько разных серверов с разными параметрами в файле C:\Program Files (x86)\stunnel\config\stunnel.conf

[client1]
client = yes
accept = 127.0.0.1:100
connect = site1.ru:443
cert = stunnel.pem

[oclient2]
client = yes
accept = 127.0.0.1:101
connect = site2.ru:443
cert = stunnel2.pem

Получается, что если мы здесь пропишем
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
То оно будет для всех распространяться, а мне нужно только для client2 это сделать...
  • Вопрос задан
  • 344 просмотра
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
Dr_Elvis
@Dr_Elvis
В гугле забанен
CAfile - это файл удостоверяющего центра, который выдал сертификат. Если вы сами генерируете сертификаты, а не покупаете, то этот файл "скажет" системе что вот этот УЦ выдал сертификат.
Стандартно использовать key и pem в конфигурации. Но тоже видел что используют только pem.
На счет TCP_NODELAY 100% не скажу, не использовал, но как мне кажется под какой конфигурацией вы пропишите - для той и будет работать. То есть например будет для 1 конфигурации(ну и на сервере тоже прописать):
[client1]
client = yes
accept = 127.0.0.1:100
connect = site1.ru:443
cert = stunnel.pem
socket = r:TCP_NODELAY=1

[oclient2]
client = yes
accept = 127.0.0.1:101
connect = site2.ru:443
cert = stunnel2.pem
Ответ написан
3 комментария
3 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Преподаватель курса по информационной безопасности
Eltex Новосибирск
от 130 000 ₽
System Administrator
HRScan
До 1 000 $
Unreal Engine 5 Developer (Middle+ / Senior)
ГК «Талант»
от 300 000 до 500 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Настройка целей для фиксации в Яндекс Метрике
28 нояб. 2024, в 21:25
5000 руб./за проект
Разработка приложения VPN
28 нояб. 2024, в 18:46
3000 руб./за проект
Разработка Телеграм Бота
28 нояб. 2024, в 17:46
10000 руб./за проект
Ещё заказы