Получение SSL-соединения для работы с STUNNEL/Win32

56
6

Служба, с которой мне нужно подключиться, предоставила мне три файла, и я пытаюсь выяснить, что мне нужно для создания файла Cert = xxx.PEM, который нужен STUNNEL


У меня есть файл keystore.jks. Сбрасывая это с помощью keytool, он говорит, что это "Закрытый ввод ключа"


У меня есть файл truststore.jks. Демпинг говорит, что это "доверенная запись сертификата". Псевдоним "сервер"


У меня также есть файл "xyz.cer". Это похоже на сертификат X.509


У меня есть OPENSSL и Java-программа под названием "KeytoolUI".


Итог: у меня есть куча файлов и инструментов и с небольшим знанием SSL. Я чувствую, что я не вижу дерева для деревьев. Нужны ли мне все эти файлы? Существующие файлы PEM, которые у меня есть для других служб, имеют только раздел "Сертификат" и раздел "Закрытый ключ RSA".


Любые советы приветствуются. Спасибо!

спросил(а) 2009-02-14T01:10:00+03:00 10 лет, 9 месяцев назад
4
Решение
59

Похоже, ваш провайдер предоставил вашу ключевую пару (для проверки подлинности на стороне клиента) в качестве хранилища ключей java и (я предполагаю) сертификат открытого сервера удаленного доступа или сертификат CA в формате PEM.


Это довольно тяжелые догадки, но странно, что они отправили вам закрытый ключ, если вы не выполняете авторизацию на стороне клиента. (Надеюсь, они не отправили вам секретный ключ для своего сервера!).


Насколько мне известно, stunnel использует только сертификаты PEM, поэтому вам нужно будет конвертировать ваши файлы JKS в два файла PEM (один для закрытого ключа, один для открытого сертификата). Один из способов сделать это - преобразовать JKS в файл PKCS # 12 (aka PFX) с помощью keytool, а затем использовать OpenSSL для преобразования файлов PKCS # 12 в файлы частного ключа/сертификата PEM.

Как только у вас есть эти два файла, используйте их с параметрами key и cert в stunnel.conf.


Для окончательного (тайного) сертификата PEM, который у вас есть, я собираюсь угадать (снова), что это удаленный CA, и поэтому вам нужно настроить его на параметр CAfile в stunnel.conf. (Если вам необходимо разместить данные здесь, отредактируйте, чтобы включить вывод из openssl x509 -in <filename> -text, чтобы предоставить дополнительные подсказки).

ответил(а) 2009-02-14T02:57:00+03:00 10 лет, 9 месяцев назад
Еще 3 ответа
34

Взгляните на эту статью:
 http://www.securityfocus.com/infocus/1677


Возможно, вам не очень интересно обеспечивать сеансы VNC или RDP поверх stunnel, но учебник работал у меня.

ответил(а) 2009-11-24T01:01:00+03:00 10 лет назад
33

Нет ответа. Я боюсь. В итоге я получил компанию, чтобы просто отправить мне файл PEM.


Я нашел довольно авторитетный учебник здесь.


http://www.herongyang.com/crypto/Migrating_Keys_keytool_to_OpenSSL_2.html

Проблема для тех, кто не делает это каждый день, получая кучу бесплатного программного обеспечения с открытым исходным кодом из разных источников для совместной работы. Вы можете найти сценарии для этого на разных сайтах, но когда вы запустите их, вы увидите трассировки Java, жалобы на LIBEAY32.DLL, отсутствующие ординалы и т.д. И т.д.


Если вы получите точные правильные версии KEYTOOL, OPENSSL и т.д., установленные в правильном месте, с правильной версией JRE и всеми другими DLL, PATH правильно, и все звезды точно выстроились в очередь, будет хорошо. До тех пор это просто упражнение в расстройстве.

ответил(а) 2009-02-20T19:52:00+03:00 10 лет, 9 месяцев назад
-3

openssl x509 -inform der -outform pem < xyz.cer > xyz.pem

ответил(а) 2012-02-06T13:55:00+04:00 7 лет, 10 месяцев назад
Ваш ответ
Введите минимум 50 символов
Чтобы , пожалуйста,
Выберите тему жалобы:

Другая проблема