Wie stunnel die Zertifikatsdateien neu laden, ohne sie neu zu starten?

3359
Rogach

Ich habe einen Server mit Stunnel, mit dem sich die Clients verbinden. Jeder Client verfügt über ein eigenes selbstsigniertes Zertifikat. Die Kopie dieses Zertifikats befindet sich im CApath-Verzeichnis auf dem Server. Ich habe also die Kontrolle darüber, wer auf den Server zugreifen kann und wer nicht.

Wenn ich den Zugriff einiger Clients verbieten muss, lösche ich das Zertifikat und führe "service stunnel4 restart" aus. Es funktioniert einwandfrei, bricht aber sicherlich die Verbindungen, die zum Zeitpunkt des Neustarts bereits aktiv sind.

Gibt es eine Möglichkeit, Stunnel dazu zu bringen, dass das Zertifikat nicht mehr gültig ist, ohne es neu zu starten?

4

2 Antworten auf die Frage

3
Jeremy W

Versuchen killall -HUP stunnel

Die am 4. Januar 2010 veröffentlichte Version 4.30 enthielt folgende Erweiterung:

Graceful Konfiguration wird mit HUP-Signal unter Unix und mit GUI unter Windows neu geladen.

1
hoehans

You could configure an exclusive port number per user and put the client certificate in a sub-dir of /etc/ssl/certs with that port number, e.g. /etc/ssl/certs/34221.

Configure your client stunnel.conf with that port.

Start one stunnel server per port with a stunnel.conf containing

cert = /etc/ssl/certs/myserver_cert.pem CAfile = /etc/ssl/certs/cacert.pem CApath = /etc/ssl/certs/34221

Then you have separated your user access.

Verwandte Probleme