文:铁乐与猫
2017年8月
一开始我是使用yum install来安装stunnel的
感觉版本低点也无所谓,毕竟只是拿来加密代理一下邮件收发。
可是后来发现之前下载的最新官网版本的tar包里有很多方便的tools工具,而yum安装的并没有,很不方便,
另外考虑到到时候windows客户端的安装,还是同一版本比较好,所以换回卸载旧版本的用编译安装(windows平台的有下相应的安装包)
cd 进解压后的原代码安装包
./configure 运行编译,如果你想指定安装位置也可以自行加上参数--prefix=/usr/local/stunnel 之类
make
make install
进入到源代码包的tools子目录下运行make cert来生成密钥,相当于运行
openssl req -new -x509 -days 365 -nodes -config stunnel.cnf -out stunnel.pem -keyout stunnel.pem
(不过直接敲的话你得指定好stunnel.cnf和openssl)所以还是推荐像官网说的用make cert。
如果不用make cert 的繁琐步骤参考:
Stunnel 服务方式需要一个证书文件。通过 openssl.exe 来创建服务器证书。
具体命令为
openssl req -new -x509 -days 365 -nodes -config openssl.cnf -out stunnel.pem -keyout stunnel.pem
这将会创建一个自己给自己签名的证书。
参数的含义:
-days 365
使这个证书的有效期是 365 天,之后它将不能再用。
-new
创建一个新的证书
-x509
创建一个 X509 证书(自己签名的)
-nodes
这个证书没有密码
-config openssl.cnf
OpenSSL 使用的配置文件 (路径最好指定,所以这个就体现了在tools子目录下敲make cert的方便之处了)
-out stunnel.pem
把 SSL 证书写到哪里(同样,这里如果用make cert的还会自动替你将pem复制到/usr/local/etc/stunnel下)
-keyout stunnel.pem
把 SSL 证书放到这个文件中
之后将会问你以下问题(请根据自己的情况回答):
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:
Email Address []:
注意:Common Name (FQDN) 应该是运行 stunnel 机器的主机名。如果你能通过不同的主机名访问这台机器,有些 SSL 客户会警告这个主机的证书有问题,所以最好是使它和用户访问的主机名匹配。
openssl gendh 512 >> stunnel.pem
这将生成 Diffie-Hellman 部分, 追加到 pem 文件中。这个只有在你指定 stunnel 使用 DH 才需要。
openssl x509 -subject -dates -fingerprint -in stunnel.pem
这个命令是将你的证书信息在屏幕显示出来。
配置/运行 Stunnel
Stunnel 默认配置文件是 stunnel.conf,编译安装的时候,目录下已有样例模板,直接复制出来就行了:
cp /usr/local/etc/stunnel.conf-sample stunnel.conf
当然模板配置要根据自己的实际情况再进行修改。
我这边主要是用于做邮件加密(变相的做邮件正向代理),所以大致将关于mail的配置修改:
(后补:要在server块做设置,这个作为客户端的不用改!)
后面看到还有server块的,有可能是直接在server块改……
启动服务的时候也出现问题,stunnel这个原有的不能使用,报错不知道命令的参数;
后来生成的stunnel3看样子倒是能,只是报需要证书,有可能与我配置文件注释掉了那些cert有关。
大胆尝试,将之前的修改的配置注释掉,修改server区块的如图下:
(后补:注---上图配置ssmtp的时候是错误的,应该为smtp.mxhichina.com:25才对!)
结果还是不行,后来想了想,可能是因为编译安装的,需要直接指定conf文件的路径!
终于搞明白,还是要用回stunnel这个程序,stunnel3这个是另外模式的。
这样一来,我对编译安装的软件启动运行之类算是更深刻了。
其实前面nginx和redis也是同理,只是那个时候还不深刻,照着文档来做,没有去消化理解到。编译和yum安装的这方面不同。
正确启动方法:/usr/local/bin/stunnel /usr/local/etc/stunnel/stunnel.conf
(运行脚本、指定配置文件)
做好服务端的了,就要去另外一台win平台上安装客户端(其实就是同一套,只是配置文件里设置成客户模式)来做测试了。
在win平台上安装foxmail7.2测试,收发邮箱服务器设置的是stunnel的这台服务器。
然而测试的效果是能收不能发。
现在初步怀疑,是不是发件服务器,也就是stunnel也在的服务器上也要安装邮件服务器来作为代发送?
注意,收件服务器要勾选SSL端口才行,然后端口就是stunnel设置监听的1110端口,它会帮忙收邮件加密传送回win上的foxmail。
我检查了一下stunnel的配置文件,发现我将smtp服务器的地址给填错了……正确的如下:
将之前的stunnel服务给kill 进程pid号停掉后,再指定配置文件启动。
再测试就成功可以发件了。
END