Stunnel是一个自由的跨平台软件,用于提供全局的TLS/SSL服务。针对本身无法进行TLS或SSL通信的客户端及服务器,Stunnel 可提供安全的加密连接。
安装Stunnel
sudo apt-get install stunnel4
配置Stunnel
打开配置文件
sudo vim /etc/stunnel/stunnel.conf
添加如下内容
;调试等级
debug = 7
;输出日志所在的位置
output = /tmp/stunnel.log
;启动系统日志
syslog = yes
;验证级别 0:先请求,如果没有就忽略;1:如果有证书就验证 2:验证证书
verify = 0
;fips = no
;ssl版本
sslversion = TLSv1
;运行时创建该文件,里面有stunnel的pid号
pid = /tmp/stunnel.pid
;应用服务名称,可以自己随便定义
[stunnel]
;表示是客户端配置
client = yes
;stunnel监听自己的12345端口来等待客户端的连接
accept = 12345
;srunnel 要连接的服务器[IP地址:端口]是[127.0.0.1:443],当然这里我是用本机来测试就是127.0.0.1
connect = 127.0.0.1:443
;CA证书所在的位置和名字
CApath = ./
CAfile = cacert.pem
;cert = /usr/lib/ssl/demoCA/certs/client.crt
;key = /usr/lib/ssl/demoCA/client.key
1.stunnel 客户方式不需要证书。stunnel 服务方式需要一个证书文件。
2.在生成服务器的证书时,可以直接使用该命令openssl req -new -x509 -days 365 -nodes -config openssl.cnf -out stunnel.pem -keyout stunnel.pem或者参考之前的博客进行,然后复制到/etc/stunnel/的目录下。这里特别需要注意与之前不同的一点是,在设置证书的信息时Common Name 必须与本机的主机名一致!!!,否则后面无法进行,会提示证书出错。
配置完成,启动程序
stunnel4 stunnel.conf
执行以下命令,查看端口的网络连接情况,看端口12345是否已经被stunnel监听
netstat -tlnp
可以看到端口12345正在被stunnel监听。
使用测试
1.运行OpenSSL官方自带的s_server程序监听443端口.
sudo openssl s_server -cert server.crt -accept 443 -key server.key
2.再用自己编写的普通socket客户端程序连接
连接成功,并且可以正常通信。