Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
stunnel [2011/12/01 16:42] bushstunnel [2011/12/02 14:46] (aktuell) bush
Zeile 32: Zeile 32:
 immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein. immer mehr ein. Tragen Sie hier die für Sie geltenden Werte sinngemäß ein.
  
-Vermeiden Sie auf jeden Fall nationale Sonderzeichen (z.B. Umlaute).+Vermeiden Sie auf jeden Fall nationale Sonderzeichen (z.B. Umlaute).\\  
 +Beachten Sie in diesem Zusammenhang den letzten Abschnitt in dieser Dokumentation!
  
 {{bilder-netzsicherheit:stunnel:makecert.png}} {{bilder-netzsicherheit:stunnel:makecert.png}}
Zeile 101: Zeile 102:
 **...eine unverschlüsselten POP3-Sitzung** **...eine unverschlüsselten POP3-Sitzung**
  
 +{{:bilder-netzsicherheit:stunnel:client-server.png|}}
  
 **...eine Verbindung zwischen stunnel im client mode und einem SSL-fähigen Server** **...eine Verbindung zwischen stunnel im client mode und einem SSL-fähigen Server**
  
 +{{:bilder-netzsicherheit:stunnel:stunnel-server.png|}}
  
 **...eine Verbindung zwischen stunnel im client mode und stunnel im server mode mit einem nicht-SSL-fähigen Server** **...eine Verbindung zwischen stunnel im client mode und stunnel im server mode mit einem nicht-SSL-fähigen Server**
  
 +{{:bilder-netzsicherheit:stunnel:stunnel-stunnel.png|}}
  
  
 +Die bei der Installation mitgelieferte Beispiel-Konfiguration ("Edit stunnel.conf" bei den Programmkomponenten) führt Mustereinträge auf sowohl für den Client- als auch für den Server-Betrieb. Der Abschnitt für die Zertifikate ist in der Voreinstellung deaktiviert. Das bedeutet, dass im Client-Mode jedes vom Server ausgegebene Zertifikat akzeptiert wird und im Server-Mode das bei der Installation selbst erstellte Zertifikat an die Clients verschickt wird.
  
-<note important>Bitte beachten Sie:\\ +Eine komplette Dokumentation findet man wie schon erwähnt bei den Programmkomponenten under "Manual"
-Dieser Text befindet sich noch in der Umbauphase+ 
-</note>+\\ 
 +===== Sicherheit ===== 
 + 
 + 
 +Wenn der Schutz durch Zertifikate zuverlässiger gestaltet werden soll, muss man wie folgt vorgehen: 
 + 
 +  * **Server-Mode**\\ Es wird ein Zertifikat verschickt, das von einer allgemein anerkannten Zertifizierungsstelle beglaubigt wird. An der Uni Freiburg kann man sich diesbezüglich an die **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifizierung|Zertifizierungsstelle der Universität (Uni FR CA)]]** wenden.\\ Mit dem Konfigurationsparameter **cert** wird stunnel der Name einer Datei mitgeteilt, in der sich, angefangen vom Wurzelzertifikat, die gesamte Zertifikatskette bis herunter zum eigenen Server-Zertifikat befindet.\\ \\  
 +  * **Client-Mode**\\ Zur Überprüfung der von einem Server ausgelieferten Zertifikate muss mit dem Parameter **CAfile** die Datei festgelegt werden, die die gesamte Zertifikatskette bis herunter zur ausstellenden Instanz (in Freiburg die Uni FR CA) enthält.\\ \\  
 +  * **Rückruflisten**\\ Um ein übriges zu tun, kann man mit einer zeitgesteuerten Task regelmäßig (und pünktlich!) die sog. Revocation Lists herunterladen und den Pfad dazu im Parameter **CRLfile** angeben. Die Rückruflisten enthalten die Zertifikate, die bis zum aktuellen Zeitpunkt für ungültig erklärt wurden. 
 + 
 +Mit dem Parameter **verify** legen Sie fest, wie stringent stunnel mit den Zertifikaten umzugehen hat. 
 + 
 +Wiki-Seiten zu den Zertifikaten finden Sie hier: 
 +**[[tag:zertifikate|Zertifikate - Artikelübersicht]]**
  
  

Zuletzt angesehen:

QR-Code
QR-Code stunnel (erstellt für aktuelle Seite)