|
|
| http://www.hbdxs.com 2006-8-18 14:01:45 来源:网络收集 点击 |
|
|
VNC服务端
接下来产生服务端的密匙对和证书。
C:\progra~1\OpenSSL\ca server
于是,在C:\CA\temp\vnc_server生成如下文件:
server.key – 私人/公共密匙对
server.crt – 服务器端的证书
server.pem - server.key + server.crt (在使用Stunnel时将用到)
应该强调的是,服务端的私匙并没有通行码来加密,使用通行码来加密私匙的方法并没有在这里派上用场,主要是因为Stunnel尚不支持通行码,其次,是用通行码加密后的私匙将不能被用于Stunnel软件。
VNC客户端
最后一步是产生客户端的密匙对和证书。
C:\progra~1\OpenSSL\ca client
跟服务端类似,在C:\CA\temp\vnc_client文件夹中将产生如下文件:
client.key –私人/公共密匙对r
client.crt – 客户端证书
client.pem – client.key + client.crt (在使用Stunnel时将用到)
Stunnel 设置
VNC服务端
在建立起服务段和客户端的一种安全传输模式前,我们必须设置好Stunnel软件,并且安装必需的密匙和证书。
在C:\Program Files\Stunnel文件夹中新建一个stunnel.conf文件,文件内容为:
CAfile = CAcert.pem
CApath = certificates
cert = server.pem
client = no
verify = 3
[vnc]
accept = 443
connect = 127.0.0.1:5900
通过以上设置,使得所有连接tcp443端口的连接转向到本地tcp5900端口,当然有个前提,那就是客户端必须提供有效的证书。
接下来,将ca证书(C:\CA\CAcert.pem)和VNC服务端的密匙,证书(C:\CA\temp\vnc_server\server.pem)放到C:\Program Files\Stunnel
最后我们也必须安装VNC客户端证书,要想使隧道程序在鉴定过程中找到证书,我们必须按照以下方法来更改证书名称。(以下命令必须在产生证书的服务器上运行,其中value为运行openssl x509命令之后的输出结果,在使用copy命令时,value必须要用这个实际的输出结果代替。)
cd C:\CA\temp\vnc_client
C:\progra~1\openssl\openssl x509 -hash -noout -in client.crt
value
copy client.crt value.0
然后这个value.0文件应该被放到C:\Program Files\Stunnel\certificates
如图所示:
VNC客户端
在客户端配置的情况和以上的步骤类似
首先C:\Program Files\Stunnel\新建一个stunnel.conf文件
内容:
CAfile = CAcert.pem
CApath = certificates
cert = client.pem
client = yes
verify = 3
[vnc]
accept = 127.0.0.1:5900
connect = VNC_server_IP_address:443
接下来,将ca证书(C:\CA\CAcert.pem)和VNC服务端的密匙,证书(C:\CA\temp\vnc_server\server.pem)放到C:\Program Files\Stunnel
同样我们需要按照以下方法来更改证书名称。
cd C:\CA\temp\vnc_server
C:\progra~1\openssl\openssl x509 -hash -noout -in server.crt
value
copy server.crt value.0
然后这个value.0文件应该被放到C:\Program Files\Stunnel\certificates
|
|
|
|
|
|
