Что это такое?
Это настройка данного туннеля STunnel.
Зачем это нужно?
Для безопасной передачи трафика конкретного приложения.
Как это настроить?
- Выбрать, является ли устройство NSG в данном соединении клиентом или сервером.
- Обязательными параметрами являются номер порта TCP для входящих соединений и номер порта TCP для исходящих соединений. Если исходящие соединения адресуются другому хосту (не тому, на котором работает сам STunnel), то обязателен также его IP-адрес.
- Сервер STunnel во всех случаях имеет свою пару ключей RSA. Для этого на сервере должны быть указаны файл его приватного (закрытого) ключа и файл сертификата (открытый ключ передаётся в теле сертификата).
- Если на сервере задана аутентификация клиентов по их сертификатам, то для этого, дополнительно к п.3, на клиенте должны быть указаны файл его приватного (закрытого) ключа и файл сертификата.
- Если на устройстве (клиенте или сервере — не важно) задана аутентификация удалённой стороны, то на нём должен быть указан файл корневого сертификата, которым подписан сертификат этого партнёра. Как правило, в практически осмысленных конфигурациях все сертификаты в системе подписываются одним корневым сертификатом.
Остальные параметры не обязательны. Подробнее см. справку по этим параметрам.
ВНИМАНИЕ! Сертификаты имеют конечный срок действия. Во избежание потери связи с клиентами необходимо заблаговременно заменять сертификаты, срок действия которых истекает.
ВНИМАНИЕ! Для работы TLS/SSL необходимо, чтобы на всех устройствах было корректно установлено системное время. Настоятельно рекомендуется синхронизировать все устройства от единого сервера NTP, доступного по открытому каналу или, как минимум, без использования сертификатов.