三、 建立证书系统
1. 创建pem文件
在RedHat系统上,只须执行以下命令就可以为机器生成主机身份证书:
2. 把主机身份证书复制到/etc/stunnel子目录
服务器主机和客户主机对主机身份证书有不同的要求。客户主机只需要syslog-ng-server.pem文件中的公共密钥部分。先从syslog-ng-server.pem文件里去掉私用密钥部分,然后把syslog-ng-server.pem文件复制到每一台客户主机的/etc/stunnel子目录下。主机身份证书文件里的私用密钥部分很容易识别,它以下面这行文本开始:
-----BEGINRSAPRIVATEKEY-----
以下面这行文本结束:
-----ENDRSAPRIVATEKEY-----
在服务器上,把整个文件复制到/etc/stunnel子目录里。类似地,把客户主机的syslog-ng-client.pem文件放到它自己的etc/stunnel子目录里。在服务器上,创建一个特殊的syslog-ng-client.pem文件来包含所有客户主机身份证书的公共密钥部分。具体做法是:先把所有客户主机的syslog-ng-client.pem文件的私用密钥部分去掉,再把剩下的内容合并到一个文件里,创建出来的文件就是服务器的特殊syslog-ng-client.pem文件。
3. 检查主机身份证书的权限
把服务器证书的所有者设置为根用户(root)且只允许根用户读和写。以下命令将确保完成:
4. 在服务器主机上创建stunnel配置文件
下面这份代码清单是stunnel程序的一种服务器配置,它们保存在文件
5. 在客户主机上创建stunnel配置文件
下面这份代码清单是stunnel程序的一种客户配置,它们保存在文件/etc/stunnel/stunnel.conf里:
6. 在服务器主机上创建syslog-ng配置文件
下面这份代码清单是syslog-ng程序的一种服务器配置,它们保存在文件/etc/syslog-ng.conf里:
