У меня проблемы с включением подключений TLS 1.2 на платформе Windows (в среде есть среды как Windows 2008, так и Windows 10). В настоящее время мои личные ключи управляются хранилищем сертификатов Windows с использованием идентификатора механизма CAPI в stunnel (v 5.41), который использует OpenSSL 1.0.2k-fips. Из-за этого stunnel может согласовывать только соединение TLS 1.1 (SSLv2 и SSLv3 / TLS1 отключены по очевидным причинам).
Я пробовал скомпилировать OpenSSL 1.1.0f и stunnel 5.41, но не повезло ни с кросс-компиляцией под CentOS, ни под Windows с использованием MSYS2 / MINGW32 или Cygwin.
Я специально ищу способ управлять pfx / p12 (закрытым ключом) в stunnel, не прибегая к хранилищу сертификатов Windows. Я нашел пример того, как настроить stunnel для использования capi, который отлично работал, но поскольку openssl 1.0.2 не поддерживает шифров, которые используются в TLS 1.2, работает только TLS 1.1. Мне нужен TLS 1.2.
https://www.stunnel.org/pipermail/stunnel-users/2017-FebFebruary/005720.html документирует, почему я не могу использовать TLS 1.2 с OpenSSL 1.0.2.
OpenSSL 1.0.2 - это то, что встроено в stunnel 5.41. Перекомпиляция не сработала. Я специально ищу, как настроить stunnel, чтобы он указывал на ключ pkcs12.
cert=
; до этого (и после) заданный P12openssl pkcs12
преобразуется в PEM, с которым может справиться любой openssl (и stunnel) обратно в oughties. - person dave_thompson_085   schedule 13.06.2017