我正在使用stunnel来validationRDP(远程桌面),我需要validation客户端拥有适当的凭据。 所以人们不能蛮力进入机器。 我也使用有安全漏洞的RDP(过时的)版本,所以stunnel是必须的。 我将在机器之间预先分配必要的.pem 。 我需要在客户端和服务器上创build正确的.pem文件的openssl命令是什么? 什么文件需要共享?
目前我们有一个最高级别的configuration,如下所示: [stream量] – >清漆(caching) – > HaProxy(负载平衡) – > Apache(内容和服务) 很明显,有多个Apache服务器,通常它们提供两种types的服务…一组服务器提供更传统types的Web内容(大部分可导航页面),另一组服务端点他们又连接到数据库和其他后端function)。 服务请求在Varnish中被过滤掉(具体的域等在VCL中被识别,并直接传递给HAProxy – 不需要caching任何这些调用)。 “内容”请求会被Varnishcaching。 需要添加SSL支持。 最初由于需要添加安全的服务请求(和响应),尽pipe我预计最终还需要在内容服务器中也有HTTPS调用。 目前我有stunnel玩弄,而它的工作,我使用有效的模型只是使用stunnel解密传入的请求,然后通过HAProxy作为正常*:80stream量(所以不使用mod_ssl等,在Apache )。 所以有效的东西现在看起来像: [stream量] – >清漆(caching) – > HaProxy(负载平衡) – > Apache(内容和服务)———–> STunnel ————- —————- ^ 所以它的工作原理,但我的胆量告诉我这不是一个真正的长期解决scheme。 一种可能性就是完全分离stream量): [stream量] – >清漆(caching) – > HaProxy(负载平衡) – > Apache(内容和服务) [stream量] – >英镑(或别的东西?)————————> Apache(SSL内容和服务) Apache服务器可能会被共享(SSLstream量将被不同地处理),但是将stream量路由到内容/服务服务器的系统将是不同的。 翻来覆去地看到了一些意见/选项(包括nginx等等),但是第一个问题是整个架构是否有意义(将传入的stream量转移到不同的子系统)还是存在一个更统一的模型应该看(而且可能更简单)。 如果体系结构是有意义的,那么后续是为这个兽人的SSL支持方面使用什么。
Apache正在侦听端口80,并将所有内容redirect到由stunnel处理的https。 如果我在其中进行身份validationredirect之前它进行身份validation。 有办法解决这个问题吗? Listen 80 <VirtualHost *:80> RewriteEngine On RewriteRule ^(.*) https://%{HTTP_HOST}$1 <Directory /*> AuthType Basic AuthName "Stooges Web Site: Login with email address" AuthLDAPURL ldap://localhost:389/o=stooges?mail require valid-user </Directory> </VirtualHost> 更新:我使用stunnel而不是apache,因为apache不能处理ssl和stunnel的websockets。
尝试使用stunnel在我的sbs2003服务器和office 365邮件服务器之间工作时,我一直收到这个错误: stunnel: bind permission denied (wsaeacces) (10013) to 0.0.0.0:110 有没有人有什么想法,可以坚持到110或我可以做什么来释放它?
我正在HAproxy上运行负载均衡服务器,并在同一台机器上使用stunnel实现Https,在实际的网页上,我有两个不同的networking,A和B,具有类似的行为。 以下是Stunnel的configuration: sslVersion = SSLv3 chroot = /var/run/stunnel/ setuid = nobody setgid = nobody sslVersion = SSLv3 chroot = /var/run/stunnel/ setuid = nobody setgid = nobody pid = /stunnel.pid debug = 7 output = /var/log/stunnel.log [web_A] accept = 192.168.5.241:443 connect = 192.168.5.241:80 verify = 1 cert = /etc/stunnel/webA-cert-key.pem CAfile = /etc/stunnel/cert.ca.pem key = /etc/ssl/certs/webA-private.key [web_B] […]
如何重新启动stunnel4并抑制输出,除非有错误? 我尝试使用-quiet标志,但根据仅NT/2000/XP only的手册页 $ /etc/init.d/stunnel4 restart -quiet /etc/stunnel/-quiet.conf does not exist. 我也尝试使用输出日志,并将configuration文件中的debugging从5 (默认,通知)降低到4 (警告)。 output = /var/log/stunnel4/stunnel.log debug = 4 [–truncated–] 无论我尝试什么,总是打印状态: $ /etc/init.d/stunnel4 restart Restarting SSL tunnels: [stopped: /etc/stunnel/attnam.conf] [Started: /etc/stunnel/attnam.conf] stunnel.
我想使一个本地的未encryption服务在端口8001上的IPv4和IPv6上通过SSL监听127.0.0.1:8000。 不幸的是,stunnelconfiguration [Server] accept = 8001 connect = 8000 绑定只在IPv4上,因为我通过netstat和ncat检查: ~$ sudo netstat -an|grep 800 | grep LISTEN tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:8001 0.0.0.0:* LISTEN ~$ ncat –ssl -v ::1 8001 Ncat: Version 6.46 ( http://nmap.org/ncat ) Ncat: Connection refused. 但是,该端口似乎也被封锁在IPv6上。 当我添加 [Server IPv6] accept = :::8001 connect = 8000 […]
运行Ubuntu 14.04 64位。 apt-get install build-essential -y apt-get install libssl-dev -y apt-get install wget -y cd srv wget https://www.stunnel.org/downloads/stunnel-5.23.tar.gz tar -xzf stunnel-5.23.tar.gz rm stunnel-5.23.tar.gz cd stunnel-5.23 ./configure make make install rm -r stunnel-5.23 我似乎无法find/etc/stunnel目录?
我正在设置stunnel,因此不支持SSL的应用程序可以访问Gmail / Google Apps帐户。 这里是我使用的configuration: CLIENT=YES [pop3s] accept = 110 connect = pop.gmail.com:995 [imaps] accept = 143 connect = imap.gmail.com:993 [ssmtp] accept = 25 connect = smtp.gmail.com:465 我已经生成了.pem文件,好的。 但它失败并logging下列错误: Clients allowed=125 stunnel 4.50 on x86_64-apple-darwin11.2.0 platform Compiled/running with OpenSSL 0.9.8r 8 Feb 2011 Threading:PTHREAD SSL:ENGINE Auth:none Sockets:SELECT,IPv6 Reading configuration from file ./tools/stunnel.conf Snagged 64 random […]
我处于无法无密码login的情况下,ssh和ssh服务器无法在默认端口以外的任何其他端口上运行。 所以,我select了stunnel来隧道隧道。 在我的个人电脑上,我在客户端模式下使用stunnel并使用它login服务器,如下所示: ssh -p 8888 user@localhost 。 问题是SSL客户端证书是公开的,所以任何人都可以很容易地设置SSL隧道到我的服务器。 如果有任何人查询https://myserver.com则表明openssh 2.0正在ssl端口上运行。 所以它已经成为一个最简单的方法,比在非默认端口上运行ssl服务器简单得多。 所以,我想知道是否有可能使私人SSL客户端证书,以便它不会被提供给任何人在我的服务器上进行https查询。 而且我应该可以像ssl私钥一样保密。