Как заставить файлы сертификатов перезагрузить Stunnel, не перезапуская его?

3303
Rogach

У меня есть сервер с stunnel, к которому подключаются клиенты. У каждого клиента есть собственный самозаверяющий сертификат, и копия этого сертификата находится в каталоге CApath на сервере, поэтому я контролирую, кто может получить доступ к серверу, а кто нет.

Когда мне нужно запретить доступ для какого-либо клиента, я удаляю сертификат и запускаю «service stunnel4 restart». Он работает просто отлично, но, безусловно, разрывает соединения, которые уже выполняются на момент перезапуска.

Есть ли способ заставить stunnel видеть, что сертификат больше не действителен без его перезапуска?

4

2 ответа на вопрос

3
Jeremy W

Пытаться killall -HUP stunnel

Версия 4.30, выпущенная 2010.01.21, содержит следующие улучшения:

Изящная перезагрузка конфигурации с сигналом HUP в Unix и с графическим интерфейсом в Windows.

1
hoehans

Вы можете настроить эксклюзивный номер порта для каждого пользователя и поместить сертификат клиента в подкаталог /etc/ssl/certsс этим номером порта, например /etc/ssl/certs/34221.

Настройте свой клиент stunnel.conf с этим портом.

Запустите один сервер Stunnel для каждого порта, stunnel.confсодержащий

cert = /etc/ssl/certs/myserver_cert.pem CAfile = /etc/ssl/certs/cacert.pem CApath = /etc/ssl/certs/34221

Затем вы разделили свой пользовательский доступ.

Похожие вопросы