Получение SSL-соединения для работы с STUNNEL/Win32

Question

Служба, с которой мне нужно подключиться, предоставила мне три файла, и я пытаюсь выяснить, что мне нужно для создания файла Cert = xxx.PEM, который необходим STUNNEL

У меня есть файл "keystore.jks". Сбрасывая это с помощью keytool, это «Закрытый ввод ключа»

У меня есть файл "truststore.jks". Демпинг говорит, что это «доверенная запись сертификата». Псевдоним «server»

У меня также есть файл «xyz.cer». Кажется, это сертификат X.509

У меня есть OPENSSL и Java-программа под названием «KeytoolUI».

Подводя итог, у меня есть куча файлов и инструментов и с небольшим знанием SSL. Я чувствую, что я не вижу дерева для деревьев. Нужны ли мне все эти файлы? Существующие файлы PEM, которые у меня есть для других служб, имеют только раздел «Сертификат» и раздел «Закрытый ключ RSA».

Любые советы, оцененные. Благодаря!

Answer 1

Похоже, ваш провайдер предоставил вашу ключевую пару (для аутентификации на стороне клиента) в качестве хранилища ключей java и (я предполагаю) открытый сертификат удаленного сервера или сертификат CA в формате PEM.

Это довольно тяжелая догадка, но странно, что они отправили вам закрытый ключ, если вы не выполняете авторизацию на стороне клиента. (Будем надеяться, что они не отправили вам секретный ключ для своего сервера!).

Насколько я знаю, stunnel использует только сертификаты PEM, поэтому вам нужно будет преобразовать ваши файлы JKS в два файла PEM (один для закрытого ключа, один для открытого сертификата). Один из способов сделать это - преобразовать JKS в файл PKCS # 12 (aka PFX), используя keytool, а затем использовать OpenSSL для преобразования файлов PKCS # 12 в файлы частного ключа/сертификата PEM.

Как только у вас есть эти два файла, используйте их с параметрами key и cert в stunnel.conf.

Для окончательного (загадочного) сертификата PEM, который у вас есть, я собираюсь угадать (снова), что это удаленный CA, и поэтому вам следует настроить его на параметр CAfile в stunnel.conf. (Если вам удобно размещать данные здесь, отредактируйте, чтобы включить вывод из openssl x509 -in <filename> -text, чтобы предоставить дополнительные подсказки).

Answer 2

Нет ответа. Я боюсь. В итоге я получил компанию, чтобы просто отправить мне файл PEM.

я нашел довольно авторитетный учебник ищет здесь

http://www.herongyang.com/crypto/Migrating_Keys_keytool_to_OpenSSL_2.html

Проблема в том, для кого-то, кто не делает это каждый день получаю кучу свободного/открытого программного обеспечения из различных источников, чтобы работать вместе. Вы можете найти сценарии для этого на разных сайтах, но когда вы запустите их, вы увидите трассировки Java, жалобы на отсутствующие ординалы LIBEAY32.DLL и т. Д. И т. Д.

Если вы получаете точные правильные версии KEYTOOL , OPENSSL и т. Д., Установлены в правильном месте, с правильной версией JRE и всеми другими DLL, PATH правильно, и все звезды точно выстроились в линию, все будет в порядке. До тех пор это просто упражнение в расстройстве.

Answer 3

Посмотрите на эту статью: http://www.securityfocus.com/infocus/1677

Вы не можете быть действительно заинтересованы в обеспечении VNC или RDP сессий над Stunnel, но учебник работал для меня.

Answer 4

openssl x509 -inform der -outform pem <xyz.cer> xyz.pem