clientul stunnel acceptă orice certificat peer

user35042

14.07.2023, 15:00

Am o mașină Linux care se conectează la un server MySQL la distanță folosind stunnel 5.56.Am descărcat certificatul serverului de la distanță și l-am introdus /etc/ssl/cert/mysql-server.pem. Iată configurația stunnel a mașinii mele Linux:

# /etc/stunnel/mysql.conf
depanare = 6

[mysql-server]
client = da
accept = 127.0.0.1:3326
connect = mysql-remote.example.com:3307
verifyPeer = da
CAfile = /etc/ssl/cert/mysql-server.pem

Când pornesc serviciul, tunelul este stabilit și asta este ceea ce văd în jurnalele:

stunnel: LOG5[ui]: stunnel 5.56 pe platforma x86_64-pc-linux-gnu
stunnel: LOG5[ui]: compilat/rulează cu OpenSSL 1.1.1k 25 martie 2021
stunnel: LOG5[ui]: Threading:PTHREAD Sockets:POLL,IPv6,SYSTEMD TLS:ENGINE,FIPS,OCSP,PSK,SNI Auth:LIBWRAP
stunnel: LOG5[ui]: citirea configurației din fișierul /etc/stunnel/mysql.conf
stunnel: LOG5[ui]: marca de ordine UTF-8 octeți nu a fost detectată
stunnel: LOG5[ui]: modul FIPS este dezactivat
stunnel: LOG6[ui]: Inițializarea serviciului [mysql-server]
stunnel: LOG5[ui]: Configurare reușită
stunnel: LOG6[ui]: Serviciu [mysql-server] (FD=9) legat la 127.0.0.1:3326
stunnel4[3372706]: Pornirea tunelurilor TLS: /etc/stunnel/mysql.conf: început (nu a fost specificat pid=pidfile!)
stunnel: LOG6[cron]: Executarea joburilor cron
stunnel: LOG6[cron]: Lucrări Cron finalizate în 0 secunde

Ca experiment am descărcat certificatul folosit de https://www.google.com și l-a salvat în /root/google.pem. Am schimbat configurația stunnel de mai sus schimbând CAfile pentru a indica certificatul Google:

depanare = 6

[mysql-server]
client = da
accept = 127.0.0.1:3326
connect = mysql-remote.example.com:3307
verifyPeer = da
CAfile = /root/google.pem

Când repornesc stunnel totul funcționează! Adică, stunnel o face nu par să-i pese ce certificat este în CAfile. Nu așa ar trebui să funcționeze verificarea certificatului de la egal la egal. ce fac greșit?

(Notă: am încercat și să adaug verifica = N cu N fiind 2, 3 și 4 cu aceleași rezultate.)

Detalii tehnice: rularea stunnel din pachetul Debian bullseye stunnel4 versiune 3:5,56+dfsg-10.

0 + 0

certificat ssl

stunel

SEF 777

întrebarea această in alte limbi:

EN: stunnel client accepts any peer certificate

TH: ไคลเอนต์ Stunnel ยอมรับใบรับรองเพียร์

RO: clientul stunnel acceptă orice certificat peer

RU: клиент stunnel принимает любой одноранговый сертификат

VI: ứng dụng khách stunnel chấp nhận mọi chứng chỉ ngang hàng

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.