Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4.
Выбрал самый легкий путь для моих условий: поставить stunnel.
Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак:1) portupgrade -fN stunnel
2) такой скрипт для создания самоподписанного ssl сертификата:
!/bin/sh
openssl genrsa -des3 -out ca.key 1024
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
openssl req -new -nodes -out req.pem -keyout cert.pem
chmod 600 cert.pem
chown root:0 cert.pem
openssl x509 -req -CA ca.crt -CAkey ca.key -days 365 -in req.pem -out signed-req.pem -CAcreateserial
cat signed-req.pem >> cert.pem
echo Сертификат готов в файле : cert.pem3) копируем cert.pem в /usr/local/etc/stunnel
4) правим /usr/local/etc/stunnel/stunnel.conf
5) запускаем stunnel и коннектимся к адресу:порту
URL:
Обсуждается: http://www.opennet.me/tips/info/882.shtml
Любопытно, а в wifi локалке будет это функционировать?
Если да то как такую штуку осуществить?
Спасибо.
Будет, разумеется!
stunnel это протокольный уровень, а wifi - канальный. Ты модель OSI почитай.
> такой скрипт для создания самоподписанного ssl сертификата:
скрипт сложноват. И, что более существенно, у меня по нему сгенерился сертификат с "битой" подписью, которую же он (openssl) сам и не признает. Сгенерилось неправильно на 2 машинах: suse (OpenSSL 0.9.7b) и rh (OpenSSL 0.9.7g)
правильный сертификат был получен так:openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout cert.pem -out cert.pem
Работает, я проверил, просто предварительно у криента надо прописать и положить сертификат центра сертификации, в нашем случае это ca.crt, а в вашем случае генерируется действительно самоподписанный сертификат, который не всегда всех может устроить.