我一直在使用stunnel以前的版本就好了。 它在SSL服务器模式下显然没有证书的function。 没关系,但对我们来说不是必需的,因为我们只是运行本地主机服务器来连接远程服务器。
无论如何,我已经阅读了常见问题解答教程,并与此相关,并尝试了一切。 无论我做什么与证书或关键设置,它仍然给这个相同的错误这里是完整的输出….
No limit detected for the number of clients stunnel 4.53 on x86-pc-mingw32-gnu platform Compiled/running with OpenSSL 0.9.8s-fips 4 Jan 2012 Threading:WIN32 SSL:+ENGINE+OCSP+FIPS Auth:none Sockets:SELECT+IPv6 Reading configuration from file stunnel.conf FIPS mode is enabled Compression not enabled Snagged 64 random bytes from C:/.rnd Wrote 0 new random bytes to C:/.rnd PRNG seeded successfully Initializing service section [FIX] Section FIX: SSL server needs a certificate Server is down 这里是stunnel.conf文件的内容:
; Certificate/key is needed in server mode and optional in client mode cert = stunnel.pem ;key = stunnel.pem ; Disable support for insecure SSLv2 protocol options = NO_SSLv2 [FIX] accept = 127.0.0.1:5679 connect = 216.52.236.112:5680 TIMEOUTconnect = 5 [FIXLIVE] accept = 127.0.0.1:5680 connect = 216.52.236.185:51581 TIMEOUTconnect = 5
请不要那stunnel安装了一个stunnel.pem文件。 我试着取消关键的configuration行注释。 每个指令还使用openssh重新生成密钥。
我试图使用绝对path的证书文件。
没有什么区别。 这是在stunnel的缺陷? 还是我做错了什么?
将client = yes添加到每个服务以修复该错误消息。
您还需要设置选项以设置正确的SSL安全性; 见下文。
# Enable proper SSL security. Without this, you are completely insecure! verify = 2 CAfile = /etc/ssl/certs/ca-certificates.crt options = NO_SSLv2 [FIX] client = yes accept = 127.0.0.1:5679 connect = 216.52.236.112:5680 TIMEOUTconnect = 5 [FIXLIVE] client = yes accept = 127.0.0.1:5680 connect = 216.52.236.185:51581 TIMEOUTconnect = 5
Stunnel总是要validation服务器证书(所有SSL客户端都这样做) – 如果您不关心中间人攻击(ISP,坏人,不好的ISP,…),您可以closures证书检查。 否则,您必须在stunnel中configuration“信任”,方法是为其提供一份服务器证书副本或您信任的链中的其他内容(例如,中间CA或超级服务器证书所使用的根CA标识自己)。 你需要设置的configurationvariables是:CAPath,CAFile。