Web Server

stunnel是个功能很简单的软件，就是进行ssl加密。可以帮助我们把http加密为https，也可以对普通的tcp链接进行ssl加密。stunnel的安装非常简单，就想详细写了。在centos下是只用用yum安装的，debian下就直接aptitude安装了。使用stunnel的配置如果不对客户端进行证书校验的话那么主要是2方面的配置。 1.配置ssl证书。stunnel配置证书有两种方式。老的方式是使用http://www.stunnel.org/static/stunnel.html介绍的先把key放最前面，然后依次放证书链。类似 -----BEGIN RSA PRIVATE KEY----- [encoded key] -----END RSA PRIVATE KEY----- [empty line] -----BEGIN CERTIFICATE----- [encoded certificate] -----END CERTIFICATE----- [empty line] 这种形式，如果服务器证书不是由根CA签发的，那么就需要类型nginx配置证书链那样把后面中间证书都逆序依次追加在后面。每个证书之间预留一个空行（不过我自己测试时不需要空行也是可以的）。这时的配置文件如下: ; Sample stunnel configuration file by Michal Trojnara 2002-2006; Some options used here may not be adequate for your particular configuration; Please make sure you understand them (especially the effect of chroot jail) ; Some debugging stuff useful for troubleshooting;debug = 7output = stunnel.log ; Use it for client mode;client = yes ...

很简单地表述一下需求，就是希望一个证书能给多个域名使用(非通配符证书). 直接上脚本吧，第一个是生成根CA的证书，因为是在以前的基础上完成的，所以实际是将就自己以前写的一个多级CA签发证书的脚本做的。原文见这里。 [这里](http://blog.chinaunix.net/uid-20553497-id-3163297.html)pm@debian:~/test/ca$ cat makerootca.sh #!/bin/bashDI R=`pwd`mkdir -p $DIR/demoCA/privatemkdir -p $DIR/demoCA/newcertsmkdir -p $DIR/autogettouch $DIR/demoCA/index.txt echo 01 > $DIR/demoCA/serial openssl genrsa -des3 -out $DIR/demoCA/private/cakey.pem 2048 openssl req -new -x509 -days 3650 -key $DIR/demoCA/private/cakey.pem -out $DIR/demoCA/careq.pem 然后是签发二级CA的脚本 pm@debian:~/test/ca$ cat no2ca.sh #!/bin/bashNAM E=$ 1DIR=$(pwd)/autoget openssl genrsa -des3 -out $DIR/$NAME.key 2048 openssl rsa -in $DIR/$NAME.key -out $DIR/$NAME.key openssl req -new -days 3650 -key $DIR/$NAME.key -out $DIR/$NAME.csr openssl ca -extensions v3_ca -in $DIR/$NAME.csr -confi g ./openssl.cnf -days 3000 -out $DIR/$NAME.crt -cert $DIR/../demoCA/careq.pem -keyfi le $DIR/../demoCA/private/cakey.pem 对应的配置文件是 ...