.\" Automatically generated by Pandoc 3.1.11.1
.\"
.TH "STUNNEL" "8" "2026.04.01" "stunnel 5.78" "stunnel TLS Proxy"
.SH NAZWA
stunnel \- uniwersalny tunel protokołu TLS
.SH SKŁADNIA
.IP \[bu] 2
\f[B]Unix:\f[R] \f[B]stunnel\f[R] [\f[CR]PLIK\f[R]] | \f[CR]\-fd N\f[R]
| \f[CR]\-help\f[R] | \f[CR]\-version\f[R] | \f[CR]\-sockets\f[R] |
\f[CR]\-options\f[R]
.IP \[bu] 2
\f[B]WIN32:\f[R] \f[B]stunnel\f[R] [ [ \f[CR]\-install\f[R] |
\f[CR]\-uninstall\f[R] | \f[CR]\-start\f[R] | \f[CR]\-stop\f[R] |
\f[CR]\-reload\f[R] | \f[CR]\-reopen\f[R] | \f[CR]\-exit\f[R] ]
[\f[CR]\-quiet\f[R]] [\f[CR]PLIK\f[R]] ] | \f[CR]\-help\f[R] |
\f[CR]\-version\f[R] | \f[CR]\-sockets\f[R] | \f[CR]\-options\f[R]
.SH OPIS
Program \f[B]stunnel\f[R] został zaprojektowany do opakowywania w
protokół \f[I]TLS\f[R] połączeń pomiędzy zdalnymi klientami a lokalnymi
lub zdalnymi serwerami.
Przez serwer lokalny rozumiana jest aplikacja przeznaczona do
uruchamiania przy pomocy \f[I]inetd\f[R].
Stunnel pozwala na proste zestawienie komunikacji serwerów nie
posiadających funkcjonalności \f[I]TLS\f[R] poprzez bezpieczne kanały
\f[I]TLS\f[R].
.PP
\f[B]stunnel\f[R] pozwala dodać funkcjonalność \f[I]TLS\f[R] do
powszechnie stosowanych demonów \f[I]inetd\f[R], np.
\f[I]pop3\f[R] lub \f[I]imap\f[R], do samodzielnych demonów, np.
\f[I]nntp\f[R], \f[I]smtp\f[R] lub \f[I]http\f[R], a nawet tunelować ppp
poprzez gniazda sieciowe bez zmian w kodzie źródłowym.
.SH OPCJE
.IP \[bu] 2
\f[B]PLIK\f[R]
.RS 2
.PP
użyj podanego pliku konfiguracyjnego
.RE
.IP \[bu] 2
\f[B]\-fd N\f[R] (tylko Unix)
.RS 2
.PP
wczytaj konfigurację z podanego deskryptora pliku
.RE
.IP \[bu] 2
\f[B]\-help\f[R]
.RS 2
.PP
drukuj listę wspieranych opcji
.RE
.IP \[bu] 2
\f[B]\-version\f[R]
.RS 2
.PP
drukuj wersję programu i domyślne wartości parametrów
.RE
.IP \[bu] 2
\f[B]\-sockets\f[R]
.RS 2
.PP
drukuj domyślne opcje gniazd
.RE
.IP \[bu] 2
\f[B]\-options\f[R]
.RS 2
.PP
drukuj wspierane opcje TLS
.RE
.IP \[bu] 2
\f[B]\-install\f[R] (tylko Windows NT lub nowszy)
.RS 2
.PP
instaluj serwis NT
.RE
.IP \[bu] 2
\f[B]\-uninstall\f[R] (tylko Windows NT lub nowszy)
.RS 2
.PP
odinstaluj serwis NT
.RE
.IP \[bu] 2
\f[B]\-start\f[R] (tylko Windows NT lub nowszy)
.RS 2
.PP
uruchom serwis NT
.RE
.IP \[bu] 2
\f[B]\-stop\f[R] (tylko Windows NT lub nowszy)
.RS 2
.PP
zatrzymaj serwis NT
.RE
.IP \[bu] 2
\f[B]\-reload\f[R] (tylko Windows NT lub nowszy)
.RS 2
.PP
przeładuj plik konfiguracyjny uruchomionego serwisu NT
.RE
.IP \[bu] 2
\f[B]\-reopen\f[R] (tylko Windows NT lub nowszy)
.RS 2
.PP
otwórz ponownie log uruchomionego serwisu NT
.RE
.IP \[bu] 2
\f[B]\-exit\f[R] (tylko Win32)
.RS 2
.PP
zatrzymaj uruchomiony program
.RE
.IP \[bu] 2
\f[B]\-quiet\f[R] (tylko Win32)
.RS 2
.PP
nie wyświetlaj okienek z komunikatami
.RE
.SH PLIK KONFIGURACYJNY
Linia w pliku konfiguracyjnym może być:
.IP \[bu] 2
pusta (ignorowana)
.IP \[bu] 2
komentarzem rozpoczynającym się znakiem `;' (ignorowana)
.IP \[bu] 2
parą `nazwa_opcji = wartość_opcji'
.IP \[bu] 2
tekstem `[nazwa_usługi]' wskazującym początek definicji usługi
.PP
Parametr adres może być:
.IP \[bu] 2
numerem portu
.IP \[bu] 2
oddzieloną średnikiem parą adresu (IPv4, IPv6, lub nazwą domenową) i
numeru portu
.IP \[bu] 2
ścieżką do gniazda Unix (tylko Unix)
.SS OPCJE GLOBALNE
.IP \[bu] 2
\f[B]chroot\f[R] = KATALOG (tylko Unix)
.RS 2
.PP
katalog roboczego korzenia systemu plików
.PP
Opcja określa katalog, w którym uwięziony zostanie proces programu
\f[B]stunnel\f[R] tuż po jego inicjalizacji, a przed rozpoczęciem
odbierania połączeń.
Ścieżki podane w opcjach \f[I]CApath\f[R], \f[I]CRLpath\f[R],
\f[I]pid\f[R] oraz \f[I]exec\f[R] muszą być umieszczone wewnątrz
katalogu podanego w opcji \f[I]chroot\f[R] i określone względem tego
katalogu.
.PP
Niektóre funkcje systemu operacyjnego mogą wymagać dodatkowych plików
umieszczonych w katalogu podanego w parametrze chroot:
.IP \[bu] 2
opóźnione rozwinięcie adresów DNS typowo wymaga /etc/nsswitch.conf i
/etc/resolv.conf
.IP \[bu] 2
lokalizacja strefy czasowej w logach wymaga pliku /etc/timezone
.IP \[bu] 2
niektóre inne pliki mogą potrzebować plików urządzeń, np.
/dev/zero lub /dev/null
.RE
.IP \[bu] 2
\f[B]compression\f[R] = deflate | zlib | zstd | brotli
.RS 2
.PP
wybór algorytmu kompresji przesyłanych danych
.PP
domyślnie: bez kompresji
.PP
Kompresja danych jest dostępna wyłącznie dla protokołu TLS 1.2 i
starszych.
Wymaga obniżenia \f[B]securityLevel\f[R] do 1 począwszy od \f[B]OpenSSL
1.1.0\f[R].
.PP
Algorytmy zlib, zstd i brotli są wyłączone w domyślnej konfiguracji
OpenSSL.
.PP
Algorytmy zstd i brotli zostały dodane w \f[B]OpenSSL 3.2\f[R].
.PP
Kompresja danych stanowi ryzyko w aplikacjach, które umożliwiają
napastnikowi wstrzyknięcie wybranego tekstu jawnego.
.PP
Algorytm deflate jest standardową metodą kompresji zgodnie z RFC 1951.
.PP
\f[B]Uwaga\f[R]: Kompresja TLS może umożliwiać ataki prowadzące do
odzyskania tekstu jawnego, takie jak CRIME, gdy dane kontrolowane przez
atakującego są kompresowane razem danymi chronionymi.
.RE
.IP \[bu] 2
\f[B]debug\f[R] = [PODSYSTEM].POZIOM
.RS 2
.PP
szczegółowość logowania
.PP
Poziom logowania można określić przy pomocy jednej z nazw lub liczb:
emerg (0), alert (1), crit (2), err (3), warning (4), notice (5), info
(6) lub debug (7).
Zapisywane są komunikaty o poziomie niższym (numerycznie) lub równym
podanemu.
Domyślnym poziomem jest notice (5).
.PP
Jakkolwiek użycie \f[I]debug = debug\f[R] lub \f[I]debug = 7\f[R]
zapewnia najbardziej szczegółowe logi, ich zawartość jest użyteczna
jedynie dla programistów zajmujących się stunnelem.
Użyj tego poziomu logowania jedynie jeśli jesteś
programistką/programistą stunnela, albo przygotowujesz szczegółowe
informacje celem przesłania do wsparcia technicznego.
W przeciwnym wypadku próba analizy zawartości logów \f[B]będzie\f[R]
jedynie źródłem dodatkowego zamieszania.
.PP
O ile nie wyspecyfikowano podsystemu użyty będzie domyślny: daemon.
Podsystemy nie są wspierane przez platformę Win32.
.PP
Wielkość liter jest ignorowana zarówno dla poziomu jak podsystemu.
.RE
.IP \[bu] 2
\f[B]EGD\f[R] = ŚCIEŻKA_DO_EGD (tylko Unix)
.RS 2
.PP
ścieżka do gniazda programu Entropy Gathering Daemon
.PP
Opcja pozwala określić ścieżkę do gniazda programu Entropy Gathering
Daemon używanego do zainicjalizowania generatora ciągów pseudolosowych
biblioteki \f[B]OpenSSL\f[R].
.RE
.IP \[bu] 2
\f[B]engine\f[R] = auto | IDENTYFIKATOR_URZĄDZENIA
.RS 2
.PP
wybór silnika kryptograficznego
.PP
domyślnie: bez wykorzystania silników kryptograficznych
.PP
Sekcja PRZYKŁADY zawiera przykładowe konfiguracje wykorzystujące silniki
kryptograficzne.
.RE
.IP \[bu] 2
\f[B]engineCtrl\f[R] = KOMENDA[:PARAMETR]
.RS 2
.PP
konfiguracja silnika kryptograficznego
.RE
.IP \[bu] 2
\f[B]engineDefault\f[R] = LISTA_ZADAŃ
.RS 2
.PP
lista zadań OpenSSL oddelegowanych do bieżącego silnika
.PP
Parametrem jest lista oddzielonych przecinkami zadań OpenSSL, które mają
zostać oddelegowane do bieżącego silnika kryptograficznego.
.PP
W zależności od konkretnego silnika dostępne mogą być następujące
zadania: ALL, RSA, DSA, ECDH, ECDSA, DH, RAND, CIPHERS, DIGESTS, PKEY,
PKEY_CRYPTO, PKEY_ASN1.
.RE
.IP \[bu] 2
\f[B]fips\f[R] = yes | no
.RS 2
.PP
tryb FIPS 140\-2
.PP
Opcja pozwala wyłączyć wejście w tryb FIPS, jeśli \f[B]stunnel\f[R]
został skompilowany ze wsparciem dla FIPS 140\-2.
.PP
domyślnie: no (od wersji 5.00)
.RE
.IP \[bu] 2
\f[B]foreground\f[R] = yes | quiet | no (tylko Unix)
.RS 2
.PP
tryb pierwszoplanowy
.PP
Użycie tej opcji powoduje, że \f[B]stunnel\f[R] nie przechodzi w tło.
.PP
Parametr \f[I]yes\f[R] powoduje dodatkowo, że komunikaty diagnostyczne
logowane są na standardowy strumień błędów (stderr) oprócz wyjść
zdefiniowanych przy pomocy opcji \f[I]syslog\f[R] i \f[I]output\f[R].
.RE
.IP \[bu] 2
\f[B]iconActive\f[R] = PLIK_Z_IKONKĄ (tylko GUI)
.RS 2
.PP
ikonka wyświetlana przy obecności aktywnych połączeń do usługi
.PP
W systemie Windows ikonka to plik .ico zawierający obrazek 16x16
pikseli.
.RE
.IP \[bu] 2
\f[B]iconError\f[R] = PLIK_Z_IKONKĄ (tylko GUI)
.RS 2
.PP
ikonka wyświetlana, jeżeli nie został załadowany poprawny plik
konfiguracyjny
.PP
W systemie Windows ikonka to plik .ico zawierający obrazek 16x16
pikseli.
.RE
.IP \[bu] 2
\f[B]iconIdle\f[R] = PLIK_Z_IKONKĄ (tylko GUI)
.RS 2
.PP
ikonka wyświetlana przy braku aktywnych połączeń do usługi
.PP
W systemie Windows ikonka to plik .ico zawierający obrazek 16x16
pikseli.
.RE
.IP \[bu] 2
\f[B]log\f[R] = append | overwrite
.RS 2
.PP
obsługa logów
.PP
Ta opcja pozwala określić, czy nowe logi w pliku (określonym w opcji
\f[I]output\f[R]) będą dodawane czy nadpisywane.
.PP
domyślnie: append
.RE
.IP \[bu] 2
\f[B]output\f[R] = PLIK
.RS 2
.PP
plik, do którego dopisane zostaną logi
.PP
Użycie tej opcji powoduje dopisanie logów do podanego pliku.
.PP
Do kierowania komunikatów na standardowe wyjście (na przykład po to,
żeby zalogować je programem splogger z pakietu daemontools) można podać
jako parametr urządzenie /dev/stdout.
.RE
.IP \[bu] 2
\f[B]pid\f[R] = PLIK (tylko Unix)
.RS 2
.PP
położenie pliku z numerem procesu
.PP
Jeżeli argument jest pusty, plik nie zostanie stworzony.
.PP
Jeżeli zdefiniowano katalog \f[I]chroot\f[R], to ścieżka do
\f[I]pid\f[R] jest określona względem tego katalogu.
.RE
.IP \[bu] 2
\f[B]provider\f[R] = PROVIDER_ID
.RS 2
.PP
Określa identyfikator dostawcy (provider), który ma być używany.
PROVIDER_ID to unikalny identyfikator wskazujący na konkretnego dostawcę
usług kryptograficznych.
.PP
Opcja ta wymaga biblioteki OpenSSL w wersji 3.0 lub nowszej.
.RE
.IP \[bu] 2
\f[B]providerParameter\f[R] = PROVIDER_ID:PARAMETER=VALUE
.RS 2
.PP
Ustawia określony parametr dla wskazanego dostawcy.
PROVIDER_ID identyfikuje dostawcę, PARAMETER to nazwa parametru, a VALUE
to jego wartość.
Ta opcja pozwala na dostosowanie konfiguracji wybranego dostawcy usług
kryptograficznych.
.PP
Opcja ta wymaga biblioteki OpenSSL w wersji 3.5 lub nowszej.
.RE
.IP \[bu] 2
\f[B]RNDbytes\f[R] = LICZBA_BAJTÓW
.RS 2
.PP
liczba bajtów do zainicjowania generatora pseudolosowego
.RE
.IP \[bu] 2
\f[B]RNDfile\f[R] = PLIK
.RS 2
.PP
ścieżka do pliku zawierającego losowe dane
.PP
Biblioteka \f[B]OpenSSL\f[R] użyje danych z tego pliku do zainicjowania
generatora pseudolosowego.
.RE
.IP \[bu] 2
\f[B]RNDoverwrite\f[R] = yes | no
.RS 2
.PP
nadpisz plik nowymi wartościami pseudolosowymi
.PP
domyślnie: yes (nadpisz)
.RE
.IP \[bu] 2
\f[B]service\f[R] = SERWIS (tylko Unix)
.RS 2
.PP
nazwa usługi
.PP
Podana nazwa usługi będzie używana jako nazwa usługi dla inicjalizacji
sysloga, oraz dla biblioteki TCP Wrapper w trybie \f[I]inetd\f[R].
Chociaż technicznie można użyć tej opcji w trybie w sekcji usług, to
jest ona użyteczna jedynie w opcjach globalnych.
.PP
domyślnie: stunnel
.RE
.IP \[bu] 2
\f[B]setEnv\f[R] = VAR_NAME=VALUE
.RS 2
.PP
Zmienia lub dodaje zmienną środowiskową dla procesów potomnych.
Jeśli VAR_NAME już istnieje, jej wartość zostanie zaktualizowana; w
przeciwnym razie zostanie utworzona nowa zmienna.
Modyfikacja dotyczy tylko uruchamianych procesów potomnych i nie wpływa
na bieżące środowisko.
.RE
.IP \[bu] 2
\f[B]syslog\f[R] = yes | no (tylko Unix)
.RS 2
.PP
włącz logowanie poprzez mechanizm syslog
.PP
domyślnie: yes (włącz)
.RE
.IP \[bu] 2
\f[B]taskbar\f[R] = yes | no (tylko WIN32)
.RS 2
.PP
włącz ikonkę w prawym dolnym rogu ekranu
.PP
domyślnie: yes (włącz)
.RE
.SS OPCJE USŁUG
Każda sekcja konfiguracji usługi zaczyna się jej nazwą ujętą w nawias
kwadratowy.
Nazwa usługi używana jest do kontroli dostępu przez bibliotekę libwrap
(TCP wrappers) oraz pozwala rozróżnić poszczególne usługi w logach.
.PP
Jeżeli \f[B]stunnel\f[R] ma zostać użyty w trybie \f[I]inetd\f[R], gdzie
za odebranie połączenia odpowiada osobny program (zwykle
\f[I]inetd\f[R], \f[I]xinetd\f[R] lub \f[I]tcpserver\f[R]), należy
przeczytać sekcję \f[I]TRYB INETD\f[R] poniżej.
.IP \[bu] 2
\f[B]accept\f[R] = [HOST:]PORT
.RS 2
.PP
nasłuchuje na połączenia na podanym adresie i porcie
.PP
Jeżeli nie został podany adres, \f[B]stunnel\f[R] domyślnie nasłuchuje
na wszystkich adresach IPv4 lokalnych interfejsów.
.PP
Aby nasłuchiwać na wszystkich adresach IPv6 należy użyć:
.IP
.EX
accept = :::port
.EE
.RE
.IP \[bu] 2
\f[B]CAengine\f[R] = IDENTYFIKATOR_CA_W_ENGINE
.RS 2
.PP
ładuje zaufane certyfikaty Centrum certyfikacji z silnika
.PP
Opcja pozwala określić położenie pliku zawierającego certyfikaty używane
przez opcję \f[I]verifyChain\f[R] lub \f[I]verifyPeer\f[R].
.PP
Opcja może być użyta wielokrotnie w pojedynczej sekcji.
.PP
Aktualnie wspierane silniki: pkcs11, cng.
.RE
.IP \[bu] 2
\f[B]CApath\f[R] = KATALOG_CA
.RS 2
.PP
ładuje zaufane certyfikaty Centrum certyfikacji z katalogu
.PP
Opcja określa katalog, w którym \f[B]stunnel\f[R] będzie szukał
certyfikatów, jeżeli użyta została opcja \f[I]verifyChain\f[R] lub
\f[I]verifyPeer\f[R].
Pliki z certyfikatami muszą posiadać specjalne nazwy XXXXXXXX.0, gdzie
XXXXXXXX jest skrótem kryptograficznym reprezentacji DER nazwy podmiotu
certyfikatu.
.PP
Ta opcja może być również użyta do dostarczenia certyfikatu root CA,
który jest niezbędny do prawidłowej weryfikacji OCSP stapling w trybie
serwera.
.PP
Funkcja skrótu została zmieniona w \f[B]OpenSSL 1.0.0\f[R].
Należy wykonać c_rehash przy zmianie \f[B]OpenSSL 0.x.x\f[R] na
\f[B]1.x.x\f[R].
.PP
Jeżeli zdefiniowano katalog \f[I]chroot\f[R], to ścieżka do
\f[I]CApath\f[R] jest określona względem tego katalogu.
.RE
.IP \[bu] 2
\f[B]CAfile\f[R] = PLIK_CA
.RS 2
.PP
ładuje zaufane certyfikaty Centrum certyfikacji z pliku
.PP
Opcja pozwala określić położenie pliku zawierającego certyfikaty używane
przez opcję \f[I]verifyChain\f[R] lub \f[I]verifyPeer\f[R].
.PP
Ta opcja może być również użyta do dostarczenia certyfikatu root CA,
który jest niezbędny do prawidłowej weryfikacji OCSP stapling w trybie
serwera.
.RE
.IP \[bu] 2
\f[B]CAstore\f[R] = URI_CA
.RS 2
.PP
ładuje zaufane certyfikaty Centrum certyfikacji z zasobu wskazanego
przez URI
.PP
Opcja umożliwia załadowanie certyfikatów CA z zewnętrznego magazynu
obsługiwanego przez mechanizm \f[I]OSSL_STORE\f[R], takiego jak moduł
PKCS#11 (np.
token sprzętowy), systemowy magazyn certyfikatów lub zasób sieciowy.
.PP
Opcja może być stosowana niezależnie od \f[I]CAfile\f[R] i
\f[I]CAdir\f[R], analogicznie służy do walidacji łańcucha certyfikatów
przy użyciu opcji \f[I]verifyChain\f[R] lub \f[I]verifyPeer\f[R], a
także do weryfikacji OCSP stapling po stronie serwera.
.PP
Opcja ta wymaga biblioteki OpenSSL w wersji 3.0 lub nowszej.
.RE
.IP \[bu] 2
\f[B]cert\f[R] = PLIK_CERT | URI
.RS 2
.PP
plik z łańcuchem certyfikatów
.PP
Opcja określa położenie pliku zawierającego certyfikaty używane przez
program \f[B]stunnel\f[R] do uwierzytelnienia się przed drugą stroną
połączenia.
Plik powinien zawierać kompletny łańcuch certyfikatów począwszy od
certyfikatu klienta/serwera, a skończywszy na samopodpisanym
certyfikacie głównego CA.
Obsługiwane są pliki w formacie PEM lub P12.
.PP
Certyfikat jest konieczny, aby używać programu w trybie serwera.
W trybie klienta certyfikat jest opcjonalny.
.PP
Opcja \f[B]cert\f[R] może być podana wielokrotnie.
Pierwszy napotkany certyfikat zostanie użyty jako certyfikat serwera lub
klienta, natomiast kolejne będą traktowane jako elementy pośrednie
łańcucha.
Ta funkcjonalność wymaga biblioteki OpenSSL w wersji 1.0.2 lub nowszej.
.PP
Jeżeli używany jest silnik kryptograficzny lub provider, to opcja
\f[B]cert\f[R] pozwala wybrać identyfikator (PKCS#11 URI) używanego
certyfikatu.
.PP
Uwaga: provider wymaga OpenSSL 3.0 lub nowszego
.RE
.IP \[bu] 2
\f[B]checkEmail\f[R] = EMAIL
.RS 2
.PP
adres email podmiotu przedstawionego certyfikatu
.PP
Pojedyncza sekcja może zawierać wiele wystąpień opcji
\f[B]checkEmail\f[R].
Certyfikaty są akceptowane, jeżeli sekcja nie weryfikuje podmiotu
certyfikatu, albo adres email przedstawionego certyfikatu pasuje do
jednego z adresów email określonych przy pomocy \f[B]checkEmail\f[R].
.PP
Opcja ta wymaga biblioteki OpenSSL w wersji 1.0.2 lub nowszej.
.RE
.IP \[bu] 2
\f[B]checkHost\f[R] = NAZWA_SERWERA
.RS 2
.PP
nazwa serwera podmiotu przedstawionego certyfikatu
.PP
Pojedyncza sekcja może zawierać wiele wystąpień opcji
\f[B]checkHost\f[R].
Certyfikaty są akceptowane, jeżeli sekcja nie weryfikuje podmiotu
certyfikatu, albo nazwa serwera przedstawionego certyfikatu pasuje do
jednego nazw określonych przy pomocy \f[B]checkHost\f[R].
.PP
Opcja ta wymaga biblioteki OpenSSL w wersji 1.0.2 lub nowszej.
.RE
.IP \[bu] 2
\f[B]checkIP\f[R] = IP
.RS 2
.PP
adres IP podmiotu przedstawionego certyfikatu
.PP
Pojedyncza sekcja może zawierać wiele wystąpień opcji \f[B]checkIP\f[R].
Certyfikaty są akceptowane, jeżeli sekcja nie weryfikuje podmiotu
certyfikatu, albo adres IP przedstawionego certyfikatu pasuje do jednego
z adresów IP określonych przy pomocy \f[B]checkIP\f[R].
.PP
Opcja ta wymaga biblioteki OpenSSL w wersji 1.0.2 lub nowszej.
.RE
.IP \[bu] 2
\f[B]ciphers\f[R] = LISTA_SZYFRÓW
.RS 2
.PP
lista dozwolonych szyfrów dla protokołów SSLv2, SSLv3, TLSv1, TLSv1.1,
TLSv1.2
.PP
Ta opcja nie wpływa na listę parametrów kryptograficznych dla protokołu
TLSv1.3
.PP
Parametrem tej opcji jest lista szyfrów, które będą użyte przy
otwieraniu nowych połączeń TLS, np.: DES\-CBC3\-SHA:IDEA\-CBC\-MD5
.RE
.IP \[bu] 2
\f[B]ciphersuites\f[R] = LISTA_PARAMETRÓW_KRYPTOGRAFICZNYCH
.RS 2
.PP
lista dozwolonych parametrów kryptograficznych dla protokołu TLSv1.3
.PP
Parametrem tej opcji są listy parametrów kryptograficznych w kolejności
ich preferowania.
.PP
Począwszy od \f[B]OpenSSL 3.0\f[R] opcja \f[I]ciphersuites\f[R] ignoruje
nieznane szyfry.
.PP
Opcja \f[I]ciphersuites\f[R] jest dostępna począwszy od \f[B]OpenSSL
1.1.1\f[R].
.PP
domyślnie: TLS_CHACHA20_POLY1305_SHA256: TLS_AES_256_GCM_SHA384:
TLS_AES_128_GCM_SHA256
.RE
.IP \[bu] 2
\f[B]client\f[R] = yes | no
.RS 2
.PP
tryb kliencki (zdalna usługa używa TLS)
.PP
domyślnie: no (tryb serwerowy)
.RE
.IP \[bu] 2
\f[B]config\f[R] = KOMENDA[:PARAMETR]
.RS 2
.PP
komenda konfiguracyjna \f[B]OpenSSL\f[R]
.PP
Komenda konfiguracyjna \f[B]OpenSSL\f[R] zostaje wykonana z podanym
parametrem.
Pozwala to na wydawanie komend konfiguracyjnych \f[B]OpenSSL\f[R] z
pliku konfiguracyjnego stunnela.
Dostępne komendy opisane są w podręczniku \f[I]SSL_CONF_cmd(3ssl)\f[R].
.PP
Możliwe jest wyspecyfikowanie wielu opcji \f[B]OpenSSL\f[R] przez
wielokrotne użycie komendy \f[B]config\f[R].
.PP
Zamiast wyłączać \f[I]config = Curves:list_curves\f[R] użyj opcji
\f[I]curves\f[R] w celu ustawienia krzywych eliptycznych.
.PP
Opcja ta wymaga biblioteki OpenSSL w wersji 1.0.2 lub nowszej.
.RE
.IP \[bu] 2
\f[B]connect\f[R] = [HOST:]PORT
.RS 2
.PP
połącz się ze zdalnym serwerem na podany port
.PP
Jeżeli nie został podany adres, \f[B]stunnel\f[R] domyślnie łączy się z
lokalnym serwerem.
.PP
Komenda może być użyta wielokrotnie w pojedynczej sekcji celem
zapewnienia wysokiej niezawodności lub rozłożenia ruchu pomiędzy wiele
serwerów.
.RE
.IP \[bu] 2
\f[B]CRLpath\f[R] = KATALOG_CRL
.RS 2
.PP
katalog List Odwołanych Certyfikatów (CRL)
.PP
Opcja określa katalog, w którym \f[B]stunnel\f[R] będzie szukał list CRL
używanych przez opcje \f[I]verifyChain\f[R] i \f[I]verifyPeer\f[R].
Pliki z listami CRL muszą posiadać specjalne nazwy XXXXXXXX.r0, gdzie
XXXXXXXX jest skrótem listy CRL.
.PP
Funkcja skrótu została zmieniona \f[B]OpenSSL 1.0.0\f[R].
Należy wykonać c_rehash przy zmianie \f[B]OpenSSL 0.x.x\f[R] na
\f[B]1.x.x\f[R].
.PP
Jeżeli zdefiniowano katalog \f[I]chroot\f[R], to ścieżka do
\f[I]CRLpath\f[R] jest określona względem tego katalogu.
.RE
.IP \[bu] 2
\f[B]CRLfile\f[R] = PLIK_CRL
.RS 2
.PP
plik List Odwołanych Certyfikatów (CRL)
.PP
Opcja pozwala określić położenie pliku zawierającego listy CRL używane
przez opcje \f[I]verifyChain\f[R] i \f[I]verifyPeer\f[R].
.RE
.IP \[bu] 2
\f[B]curves\f[R] = lista
.RS 2
.PP
krzywe ECDH odddzielone `:'
.PP
Uwaga: ta opcja wpływa tylko na gniazda w trybie serwera.
.PP
Wersje OpenSSL starsze niż 1.1.1 pozwalają na użycie tylko jednej
krzywej.
.PP
Listę dostępnych krzywych można uzyskać poleceniem:
.IP
.EX
openssl ecparam \-list_curves
.EE
.PP
domyślnie:
.IP
.EX
X25519:P\-256:X448:P\-521:P\-384 (począwszy od OpenSSL 1.1.1)

prime256v1 (OpenSSL starszy niż 1.1.1)
.EE
.RE
.IP \[bu] 2
\f[B]logId\f[R] = TYP
.RS 2
.PP
typ identyfikatora połączenia klienta
.PP
Identyfikator ten pozwala rozróżnić wpisy w logu wygenerowane dla
poszczególnych połączeń.
.PP
Aktualnie wspierane typy:
.IP \[bu] 2
\f[I]sequential\f[R]
.RS 2
.PP
Kolejny numer połączenia jest unikalny jedynie w obrębie pojedynczej
instancji programu \f[B]stunnel\f[R], ale bardzo krótki.
Jest on szczególnie użyteczny przy ręcznej analizie logów.
.RE
.IP \[bu] 2
\f[I]unique\f[R]
.RS 2
.PP
Ten rodzaj identyfikatora jest globalnie unikalny, ale znacznie dłuższy,
niż kolejny numer połączenia.
Jest on szczególnie użyteczny przy zautomatyzowanej analizie logów.
.RE
.IP \[bu] 2
\f[I]thread\f[R]
.RS 2
.PP
Identyfikator wątku systemu operacyjnego nie jest ani unikalny (nawet w
obrębie pojedynczej instancji programu \f[B]stunnel\f[R]), ani krótki.
Jest on szczególnie użyteczny przy diagnozowaniu problemów z
oprogramowaniem lub konfiguracją.
.RE
.IP \[bu] 2
\f[I]process\f[R]
.RS 2
.PP
Identyfikator procesu (PID) może być użyteczny w trybie inetd.
.RE
.PP
domyślnie: sequential
.RE
.IP \[bu] 2
\f[B]debug\f[R] = POZIOM
.RS 2
.PP
szczegółowość logowania
.PP
Poziom logowania można określić przy pomocy jednej z nazw lub liczb:
emerg (0), alert (1), crit (2), err (3), warning (4), notice (5), info
(6) lub debug (7).
Zapisywane są komunikaty o poziomie niższym (numerycznie) lub równym
podanemu.
Do uzyskania najwyższego poziomu szczegółowości można użyć opcji
\f[I]debug = debug\f[R] lub \f[I]debug = 7\f[R].
Domyślnym poziomem jest notice (5).
.RE
.IP \[bu] 2
\f[B]delay\f[R] = yes | no
.RS 2
.PP
opóźnij rozwinięcie adresu DNS podanego w opcji \f[I]connect\f[R]
.PP
Opcja jest przydatna przy dynamicznym DNS, albo gdy usługa DNS nie jest
dostępna przy starcie programu \f[B]stunnel\f[R] (klient VPN, połączenie
wdzwaniane).
.PP
Opóźnione rozwijanie adresu DNS jest włączane automatycznie, jeżeli nie
powiedzie się rozwinięcie któregokolwiek z adresów \f[I]connect\f[R] dla
danej usługi.
.PP
Opóźnione rozwijanie adresu automatycznie aktywuje \f[I]failover =
prio\f[R].
.PP
domyślnie: no
.RE
.IP \[bu] 2
\f[B]engineId\f[R] = NUMER_URZĄDZENIA
.RS 2
.PP
wybierz silnik kryptograficzny dla usługi
.RE
.IP \[bu] 2
\f[B]engineNum\f[R] = NUMER_URZĄDZENIA
.RS 2
.PP
wybierz silnik kryptograficzny dla usługi
.PP
Urządzenia są numerowane od 1 w górę.
.RE
.IP \[bu] 2
\f[B]exec\f[R] = ŚCIEŻKA_DO_PROGRAMU
.RS 2
.PP
wykonaj lokalny program przystosowany do pracy z superdemonem inetd
.PP
Jeżeli zdefiniowano katalog \f[I]chroot\f[R], to ścieżka do
\f[I]exec\f[R] jest określona względem tego katalogu.
.PP
Na platformach Unix ustawiane są następujące zmienne środowiskowe:
REMOTE_HOST, REMOTE_PORT, SSL_CLIENT_DN, SSL_CLIENT_I_DN.
.RE
.IP \[bu] 2
\f[B]execArgs\f[R] = $0 $1 $2 ...
.RS 2
.PP
argumenty do opcji \f[I]exec\f[R] włącznie z nazwą programu ($0)
.PP
Cytowanie nie jest wspierane w obecnej wersji programu.
Argumenty są rozdzielone dowolną liczbą białych znaków.
.RE
.IP \[bu] 2
\f[B]failover\f[R] = rr | prio
.RS 2
.PP
Strategia wybierania serwerów wyspecyfikowanych parametrami
\[dq]connect\[dq].
.IP \[bu] 2
\f[I]rr\f[R]
.RS 2
.PP
round robin \- sprawiedliwe rozłożenie obciążenia
.RE
.IP \[bu] 2
\f[I]prio\f[R]
.RS 2
.PP
priority \- użyj kolejności opcji w pliku konfiguracyjnym
.RE
.PP
domyślnie: prio
.RE
.IP \[bu] 2
\f[B]ident\f[R] = NAZWA_UŻYTKOWNIKA
.RS 2
.PP
weryfikuj nazwę zdalnego użytkownika korzystając z protokołu IDENT (RFC
1413)
.RE
.IP \[bu] 2
\f[B]include\f[R] = KATALOG
.RS 2
.PP
wczytaj fragmenty plików konfiguracyjnych z podanego katalogu
.PP
Pliki są wczytywane w rosnącej kolejności alfabetycznej ich nazw.
Rekomendowana konwencja nazewnictwa plików
.PP
dla opcji globalnych:
.IP
.EX
00\-global.conf
.EE
.PP
dla lokalnych opcji usług:
.IP
.EX
01\-service.conf

02\-service.conf
.EE
.RE
.IP \[bu] 2
\f[B]key\f[R] = PLIK_KLUCZA | URI
.RS 2
.PP
klucz prywatny do certyfikatu podanego w opcji \f[I]cert\f[R]
.PP
Klucz prywatny jest potrzebny do uwierzytelnienia właściciela
certyfikatu.
Ponieważ powinien on być zachowany w tajemnicy, prawa do jego odczytu
powinien mieć wyłącznie właściciel pliku.
W systemie Unix można to osiągnąć komendą:
.IP
.EX
chmod 600 keyfile
.EE
.PP
Jeżeli używany jest silnik kryptograficzny lub provider, to opcja
\f[B]key\f[R] pozwala wybrać identyfikator (PKCS#11 URI) używanego
klucza prywatnego.
.PP
Uwaga: provider wymaga OpenSSL 3.0 lub nowszego
.PP
domyślnie: wartość opcji \f[I]cert\f[R]
.RE
.IP \[bu] 2
\f[B]libwrap\f[R] = yes | no
.RS 2
.PP
włącz lub wyłącz korzystanie z /etc/hosts.allow i /etc/hosts.deny.
.PP
domyślnie: no (od wersji 5.00)
.RE
.IP \[bu] 2
\f[B]local\f[R] = HOST
.RS 2
.PP
IP źródła do nawiązywania zdalnych połączeń
.PP
Domyślnie używane jest IP najbardziej zewnętrznego interfejsu w stronę
serwera, do którego nawiązywane jest połączenie.
.RE
.IP \[bu] 2
\f[B]OCSP\f[R] = URL
.RS 2
.PP
responder OCSP do weryfikacji certyfikatu drugiej strony połączenia
.RE
.IP \[bu] 2
\f[B]OCSPaia\f[R] = yes | no
.RS 2
.PP
weryfikuj certyfikaty przy użyciu respondertów AIA
.PP
Opcja \f[I]OCSPaia\f[R] pozwala na weryfikowanie certyfikatów przy
pomocy listy URLi responderów OCSP przesłanych w rozszerzeniach AIA
(Authority Information Access).
.RE
.IP \[bu] 2
\f[B]OCSPflag\f[R] = FLAGA_OCSP
.RS 2
.PP
flaga respondera OCSP
.PP
Aktualnie wspierane flagi: NOCERTS, NOINTERN, NOSIGS, NOCHAIN, NOVERIFY,
NOEXPLICIT, NOCASIGN, NODELEGATED, NOCHECKS, TRUSTOTHER, RESPID_KEY,
NOTIME
.PP
Aby wyspecyfikować kilka flag należy użyć \f[I]OCSPflag\f[R]
wielokrotnie.
.RE
.IP \[bu] 2
\f[B]OCSPnonce\f[R] = yes | no
.RS 2
.PP
wysyłaj i weryfikuj OCSP nonce
.PP
Opcja \f[B]OCSPnonce\f[R] zabezpiecza protokół OCSP przed atakami
powtórzeniowymi.
Ze względu na złożoność obliczeniową rozszerzenie nonce jest zwykle
wspierane jedynie przez wewnętrzne (np.
korporacyjne), a nie przez publiczne respondery OCSP.
.RE
.IP \[bu] 2
\f[B]OCSPrequire\f[R] = yes | no
.RS 2
.PP
wymagaj rozstrzygającej odpowiedzi respondera OCSP
.PP
Wyłączenie tej opcji pozwala na zaakceptowanie połączenia pomimo braku
otrzymania rozstrzygającej odpowiedzi OCSP ze staplingu i bezpośredniego
żądania wysłanego do respondera.
.PP
domyślnie: yes
.RE
.IP \[bu] 2
\f[B]options\f[R] = OPCJE_SSL
.RS 2
.PP
opcje biblioteki \f[B]OpenSSL\f[R]
.PP
Parametrem jest nazwa opcji zgodnie z opisem w
\f[I]SSL_CTX_set_options(3ssl)\f[R], ale bez przedrostka
\f[I]SSL_OP_\f[R].
\f[I]stunnel \-options\f[R] wyświetla opcje dozwolone w aktualnej
kombinacji programu \f[I]stunnel\f[R] i biblioteki \f[I]OpenSSL\f[R].
.PP
Aby wyspecyfikować kilka opcji należy użyć \f[I]options\f[R]
wielokrotnie.
Nazwa opcji może być poprzedzona myślnikiem (\[dq]\-\[dq]) celem
wyłączenia opcji.
.PP
Na przykład, dla zachowania kompatybilności z błędami implementacji TLS
w programie Eudora, można użyć opcji:
.IP
.EX
options = DONT_INSERT_EMPTY_FRAGMENTS
.EE
.PP
domyślnie:
.IP
.EX
options = NO_SSLv2
options = NO_SSLv3
.EE
.PP
Począwszy od \f[B]OpenSSL 1.1.0\f[R], zamiast wyłączać określone wersje
protokołów TLS użyj opcji \f[I]sslVersionMax\f[R] lub
\f[I]sslVersionMin\f[R].
.RE
.IP \[bu] 2
\f[B]protocol\f[R] = PROTOKÓŁ
.RS 2
.PP
negocjuj TLS podanym protokołem aplikacyjnym
.PP
Opcja ta włącza wstępną negocjację szyfrowania TLS dla wybranego
protokołu aplikacyjnego.
Opcji \f[I]protocol\f[R] nie należy używać z szyfrowaniem TLS na osobnym
porcie.
.PP
Aktualnie wspierane protokoły:
.IP \[bu] 2
\f[I]cifs\f[R]
.RS 2
.PP
Nieudokumentowane rozszerzenie protokołu CIFS wspierane przez serwer
Samba.
Wsparcie dla tego rozszerzenia zostało zarzucone w wersji 3.0.0 serwera
Samba.
.RE
.IP \[bu] 2
\f[I]capwin\f[R]
.RS 2
.PP
Wsparcie dla aplikacji \c
.UR https://www.capwin.org/
.UE \c
.RE
.IP \[bu] 2
\f[I]capwinctrl\f[R]
.RS 2
.PP
Wsparcie dla aplikacji \c
.UR https://www.capwin.org/
.UE \c
.PP
Ten protokół jest wspierany wyłącznie w trybie klienckim.
.RE
.IP \[bu] 2
\f[I]connect\f[R]
.RS 2
.PP
Negocjacja RFC 2817 \- \f[I]Upgrading to TLS Within HTTP/1.1\f[R],
rozdział 5.2 \- \f[I]Requesting a Tunnel with CONNECT\f[R]
.PP
Ten protokół jest wspierany wyłącznie w trybie klienckim.
.RE
.IP \[bu] 2
\f[I]imap\f[R]
.RS 2
.PP
Negocjacja RFC 2595 \- \f[I]Using TLS with IMAP, POP3 and ACAP\f[R]
.RE
.IP \[bu] 2
\f[I]ldap\f[R]
.RS 2
.PP
Negocjacja RFC 2830 \- \f[I]Lightweight Directory Access Protocol (v3):
Extension for Transport Layer Security\f[R]
.RE
.IP \[bu] 2
\f[I]nntp\f[R]
.RS 2
.PP
Negocjacja RFC 4642 \- \f[I]Using Transport Layer Security (TLS) with
Network News Transfer Protocol (NNTP)\f[R]
.PP
Ten protokół jest wspierany wyłącznie w trybie klienckim.
.RE
.IP \[bu] 2
\f[I]pgsql\f[R]
.RS 2
.PP
Negocjacja \c
.UR
https://www.postgresql.org/docs/8.3/static/protocol-flow.html#AEN73982
.UE \c
.RE
.IP \[bu] 2
\f[I]pop3\f[R]
.RS 2
.PP
Negocjacja RFC 2449 \- \f[I]POP3 Extension Mechanism\f[R]
.RE
.IP \[bu] 2
\f[I]proxy\f[R]
.RS 2
.PP
Przekazywanie oryginalnego IP klienta przez protokół HAProxy PROXY w
wersji 1 \c
.UR https://www.haproxy.org/download/1.8/doc/proxy-protocol.txt
.UE \c
.RE
.IP \[bu] 2
\f[I]smtp\f[R]
.RS 2
.PP
Negocjacja RFC 2487 \- \f[I]SMTP Service Extension for Secure SMTP over
TLS\f[R]
.RE
.IP \[bu] 2
\f[I]socks\f[R]
.RS 2
.PP
Wspierany jest protokół SOCKS w wersjach 4, 4a i 5.
Protokół SOCKS enkapsulowany jest w protokole TLS, więc adres serwera
docelowego nie jest widoczny dla napastnika przechwytującego ruch
sieciowy.
.PP
\c
.UR https://www.openssh.com/txt/socks4.protocol
.UE \c
.PP
\c
.UR https://www.openssh.com/txt/socks4a.protocol
.UE \c
.PP
Nie jest wspierana komenda BIND protokołu SOCKS.
Przesłana wartość parametru USERID jest ignorowana.
.PP
Sekcja PRZYKŁADY zawiera przykładowe pliki konfiguracyjne VPNa
zbudowanego w oparciu o szyfrowany protokół SOCKS.
.RE
.RE
.IP \[bu] 2
\f[B]protocolAuthentication\f[R] = UWIERZYTELNIENIE
.RS 2
.PP
rodzaj uwierzytelnienia do negocjacji protokołu
.PP
Opcja ta jest wpierana wyłącznie w klienckich protokołach `connect' i
`smtp'.
.PP
W protokole `connect' wspierane jest uwierzytelnienie `basic' oraz
`ntlm'.
Domyślnym rodzajem uwierzytelnienia protokołu `connect' jest `basic'.
.PP
W protokole `smtp' wspierane jest uwierzytelnienie `plain' oraz `login'.
Domyślnym rodzajem uwierzytelnienia protokołu `smtp' jest `plain'.
.RE
.IP \[bu] 2
\f[B]protocolDomain\f[R] = DOMENA
.RS 2
.PP
domena do negocjacji protokołu
.PP
W obecnej wersji opcja ma zastosowanie wyłącznie w protokole `connect'.
.RE
.IP \[bu] 2
\f[B]protocolHeader\f[R] = NAGŁÓWEK
.RS 2
.PP
nagłówek do negocjacji protokołu
.PP
W obecnej wersji opcja ma zastosowanie wyłącznie w protokole `connect'.
.RE
.IP \[bu] 2
\f[B]protocolHost\f[R] = ADRES
.RS 2
.PP
adres hosta do negocjacji protokołu
.PP
Dla protokołu `connect', \f[I]protocolHost\f[R] określa docelowy serwer
TLS, do którego połączyć ma się proxy.
Adres serwera proxy, do którego łączy się \f[B]stunnel\f[R], musi być
określony przy pomocy opcji \f[I]connect\f[R].
.PP
Dla protokołu `smtp', \f[I]protocolHost\f[R] określa wartość HELO/EHLO
wysyłanego przy negocjacji klienta.
.RE
.IP \[bu] 2
\f[B]protocolPassword\f[R] = HASŁO
.RS 2
.PP
hasło do negocjacji protokołu
.PP
Opcja ta jest wspierana wyłącznie w klienckich protokołach `connect' i
`smtp'.
.RE
.IP \[bu] 2
\f[B]protocolUsername\f[R] = UŻYTKOWNIK
.RS 2
.PP
nazwa użytkownika do negocjacji protokołu
.PP
Opcja ta jest wspierana wyłącznie w klienckich protokołach `connect' i
`smtp'.
.RE
.IP \[bu] 2
\f[B]PSKidentity\f[R] = TOŻSAMOŚĆ
.RS 2
.PP
tożsamość klienta PSK
.PP
\f[I]PSKidentity\f[R] może zostać użyte w sekcjach klienckich do
wybrania tożsamości użytej do uwierzytelnienia PSK.
Opcja jest ignorowana w sekcjach serwerowych.
.PP
domyślnie: pierwsza tożsamość zdefiniowana w pliku \f[I]PSKsecrets\f[R]
.RE
.IP \[bu] 2
\f[B]PSKsecrets\f[R] = PLIK
.RS 2
.PP
plik z tożsamościami i kluczami PSK
.PP
Każda linia pliku jest w następującym formacie:
.IP
.EX
TOŻSAMOŚĆ:KLUCZ
.EE
.PP
Szesnastkowe klucze są automatycznie konwertowane do postaci binarnej.
Klucz musi być mieć przynajmniej 16 bajtów, co w przypadku kluczy
szesnastkowych przekłada się na przynajmniej 32 znaki.
Należy ograniczyć dostęp do czytania lub pisania do tego pliku.
.RE
.IP \[bu] 2
\f[B]pty\f[R] = yes | no (tylko Unix)
.RS 2
.PP
alokuj pseudo\-terminal dla programu uruchamianego w opcji `exec'
.RE
.IP \[bu] 2
\f[B]redirect\f[R] = [HOST:]PORT
.RS 2
.PP
przekieruj klienta, któremu nie udało się poprawnie uwierzytelnić przy
pomocy certyfikatu
.PP
Opcja działa wyłącznie w trybie serwera.
Część negocjacji protokołów jest niekompatybilna z opcją
\f[I]redirect\f[R].
.RE
.IP \[bu] 2
\f[B]renegotiation\f[R] = yes | no
.RS 2
.PP
pozwalaj na renegocjację TLS
.PP
Zastosowania renegocjacji TLS zawierają niektóre scenariusze
uwierzytelniania oraz renegocjację kluczy dla długotrwałych połączeń.
.PP
Z drugiej strony własność na może ułatwić trywialny atak DoS poprzez
wygenerowanie obciążenia procesora:
.PP
\c
.UR https://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html
.UE \c
.PP
Warto zauważyć, że zablokowanie renegocjacji TLS nie zabezpiecza w pełni
przed opisanym problemem.
.PP
domyślnie: yes (o ile wspierane przez \f[B]OpenSSL\f[R])
.RE
.IP \[bu] 2
\f[B]reset\f[R] = yes | no
.RS 2
.PP
sygnalizuj wystąpienie błędu przy pomocy flagi TCP RST
.PP
Opcja nie jest wspierana na niektórych platformach.
.PP
domyślnie: yes
.RE
.IP \[bu] 2
\f[B]retry\f[R] = yes | no | OPÓŹNIENIE
.RS 2
.PP
połącz ponownie sekcję connect+exec po rozłączeniu
.PP
Wartość parametru OPÓŹNIENIE określa liczbę milisekund oczekiwania przed
wykonaniem ponownego połączenia.
\[dq]retry = yes\[dq] jest synonimem dla \[dq]retry = 1000\[dq].
.PP
domyślnie: no
.RE
.IP \[bu] 2
\f[B]securityLevel\f[R] = POZIOM
.RS 2
.PP
ustaw poziom bezpieczeństwa
.PP
Znaczenie każdego poziomu opisano poniżej:
.IP \[bu] 2
poziom 0
.RS 2
.PP
Wszystko jest dozwolone.
.RE
.IP \[bu] 2
poziom 1
.RS 2
.PP
Poziom bezpieczeństwa zapewniający minimum 80 bitów bezpieczeństwa.
Żadne parametry kryptograficzne oferujące poziom bezpieczeństwa poniżej
80 bitów nie mogą zostać użyte.
W związku z tym RSA, DSA oraz klucze DH krótsze niż 1024 bity, a także
klucze ECC krótsze niż 160 bitów i wszystkie eksportowe zestawy szyfrów
są niedozwolone.
Użycie SSLv2 jest zabronione.
Wszelkie listy parametrów kryptograficznych używające MD5 do MAC są
zabronione.
Począwszy od OpenSSL 3.0 wersje TLS starsze niż 1.2 są wyłączone.
.RE
.IP \[bu] 2
poziom 2
.RS 2
.PP
Poziom bezpieczeństwa zapewniający 112 bitów bezpieczeństwa.
W związku z tym RSA, DSA oraz klucze DH krótsze niż 2048 bitów, a także
klucze ECC krótsze niż 224 bity są niedozwolone.
Oprócz wyłączeń z poziomu 1 zabronione jest także korzystanie z zestawów
szyfrów używających RC4.
Kompresja jest wyłączona.
Użycie SSLv3 jest zabronione dla wersji OpenSSL starszych niż 3.0.
.RE
.IP \[bu] 2
poziom 3
.RS 2
.PP
Poziom bezpieczeństwa zapewniający 128 bitów bezpieczeństwa.
W związku z tym RSA, DSA oraz klucze DH krótsze niż 3072 bity, a także
klucze ECC krótsze niż 256 bitów są niedozwolone.
Oprócz wyłączeń z poziomu 2 zabronione jest także korzystanie z zestawów
szyfrów nie zapewniających utajniania z wyprzedzeniem (forward secrecy).
Bilety sesji są wyłączone.
Wersje TLS starsze niż 1.1 są zabronione dla wersji OpenSSL starszych
niż 3.0.
.RE
.IP \[bu] 2
poziom 4
.RS 2
.PP
Poziom bezpieczeństwa zapewniający 192 bity bezpieczeństwa.
W związku z tym RSA, DSA oraz klucze DH krótsze niż 7680 bitów, a także
klucze ECC krótsze niż 384 bity są niedozwolone.
Listy parametrów kryptograficznych używających SHA1 do MAC są
zabronione.
Wersje TLS starsze niż 1.2 są zabronione dla wersji OpenSSL starszych
niż 3.0.
.RE
.IP \[bu] 2
poziom 5
.RS 2
.PP
Poziom bezpieczeństwa zapewniający 256 bitów bezpieczeństwa.
W związku z tym RSA, DSA oraz klucze DH krótsze niż 15360 bitów, a także
klucze ECC krótsze niż 512 bitów są niedozwolone.
.RE
.IP \[bu] 2
domyślnie: 2
.PP
Opcja \f[I]securityLevel\f[R] jest dostępna począwszy od \f[B]OpenSSL
1.1.0\f[R].
.RE
.IP \[bu] 2
\f[B]requireCert\f[R] = yes | no
.RS 2
.PP
wymagaj certyfikatu klienta dla \f[I]verifyChain\f[R] lub
\f[I]verifyPeer\f[R]
.PP
Przy opcji \f[I]requireCert\f[R] ustawionej na \f[I]no\f[R],
\f[B]stunnel\f[R] akceptuje połączenia klientów, które nie wysłały
certyfikatu.
.PP
Zarówno \f[I]verifyChain = yes\f[R] jak i \f[I]verifyPeer = yes\f[R]
automatycznie ustawiają \f[I]requireCert\f[R] na \f[I]yes\f[R].
.PP
domyślnie: no
.RE
.IP \[bu] 2
\f[B]setgid\f[R] = IDENTYFIKATOR_GRUPY (tylko Unix)
.RS 2
.PP
identyfikator grupy Unix
.PP
Jako opcja globalna: grupa, z której prawami pracował będzie
\f[B]stunnel\f[R].
.PP
Jako opcja usługi: grupa gniazda Unix utworzonego przy pomocy opcji
\[dq]accept\[dq].
.RE
.IP \[bu] 2
\f[B]setuid\f[R] = IDENTYFIKATOR_UŻYTKOWNIKA (tylko Unix)
.RS 2
.PP
identyfikator użytkownika Unix
.PP
Jako opcja globalna: użytkownik, z którego prawami pracował będzie
\f[B]stunnel\f[R].
.PP
Jako opcja usługi: właściciel gniazda Unix utworzonego przy pomocy opcji
\[dq]accept\[dq].
.RE
.IP \[bu] 2
\f[B]sessionCacheSize\f[R] = LICZBA_POZYCJI_CACHE
.RS 2
.PP
rozmiar pamięci podręcznej sesji TLS
.PP
Parametr określa maksymalną liczbę pozycji wewnętrznej pamięci
podręcznej sesji.
.PP
Wartość 0 oznacza brak ograniczenia rozmiaru.
Nie jest to zalecane dla systemów produkcyjnych z uwagi na ryzyko ataku
DoS przez wyczerpanie pamięci RAM.
.RE
.IP \[bu] 2
\f[B]sessionCacheTimeout\f[R] = LICZBA_SEKUND
.RS 2
.PP
przeterminowanie pamięci podręcznej sesji TLS
.PP
Parametr określa czas w sekundach, po którym sesja TLS zostanie usunięta
z pamięci podręcznej.
.RE
.IP \[bu] 2
\f[B]sessionResume\f[R] = yes | no
.RS 2
.PP
zezwalaj lub nie zezwalaj na wznawianie sesji
.PP
domyślnie: yes
.RE
.IP \[bu] 2
\f[B]sessiond\f[R] = HOST:PORT
.RS 2
.PP
adres sessiond \- serwera cache sesji TLS
.RE
.IP \[bu] 2
\f[B]sni\f[R] = NAZWA_USŁUGI:WZORZEC_NAZWY_SERWERA (tryb serwera)
.RS 2
.PP
Użyj usługi jako podrzędnej (virtualnego serwera) dla rozszerzenia TLS
Server Name Indication (RFC 3546).
.PP
\f[I]NAZWA_USŁUGI\f[R] wskazuje usługę nadrzędną, która odbiera
połączenia od klientów przy pomocy opcji \f[I]accept\f[R].
\f[I]WZORZEC_NAZWY_SERWERA\f[R] wskazuje nazwę serwera wirtualnego.
Wzorzec może zaczynać się znakiem `*', np.
\[cq]*.example.com\[dq].
Z pojedynczą usługą nadrzędną powiązane jest zwykle wiele usług
podrzędnych.
Opcja \f[I]sni\f[R] może być również użyta wielokrotnie w ramach jednej
usługi podrzędnej.
.PP
Zarówno usługa nadrzędna jak i podrzędna nie może być skonfigurowana w
trybie klienckim.
.PP
Opcja \f[I]connect\f[R] usługi podrzędnej jest ignorowana w połączeniu z
opcją \f[I]protocol\f[R], gdyż połączenie do zdalnego serwera jest w tym
wypadku nawiązywane przed negocjacją TLS.
.PP
Uwierzytelnienie przy pomocy biblioteki libwrap jest realizowane
dwukrotnie: najpierw dla usługi nadrzędnej po odebraniu połączenia TCP,
a następnie dla usługi podrzędnej podczas negocjacji TLS.
.PP
Opcja \f[I]sni\f[R] jest dostępna począwszy od \f[B]OpenSSL 1.0.0\f[R].
.RE
.IP \[bu] 2
\f[B]sni\f[R] = NAZWA_SERWERA (tryb klienta)
.RS 2
.PP
Użyj parametru jako wartości rozszerzenia TLS Server Name Indication
(RFC 3546).
.PP
Pusta wartość parametru NAZWA_SERWERA wyłącza wysyłanie rozszerzenia
SNI.
.PP
Opcja \f[I]sni\f[R] jest dostępna począwszy od \f[B]OpenSSL 1.0.0\f[R].
.RE
.IP \[bu] 2
\f[B]socket\f[R] = a|l|r:OPCJA=WARTOŚĆ[:WARTOŚĆ]
.RS 2
.PP
ustaw opcję na akceptującym/lokalnym/zdalnym gnieździe
.PP
Dla opcji linger wartości mają postać l_onof:l_linger.
Dla opcji time wartości mają postać tv_sec:tv_usec.
.PP
Przykłady:
.IP
.EX
socket = l:SO_LINGER=1:60
    ustaw jednominutowe przeterminowanie
    przy zamykaniu lokalnego gniazda
socket = r:SO_OOBINLINE=yes
    umieść dane pozapasmowe (out\-of\-band)
    bezpośrednio w strumieniu danych
    wejściowych dla zdalnych gniazd
socket = a:SO_REUSEADDR=no
    zablokuj ponowne używanie portu
    (domyślnie włączone)
socket = a:SO_BINDTODEVICE=lo
    przyjmuj połączenia wyłącznie na
    interfejsie zwrotnym (ang. loopback)
.EE
.RE
.IP \[bu] 2
\f[B]sslVersion\f[R] = WERSJA_SSL
.RS 2
.PP
wersja protokołu TLS
.PP
Wspierane wersje: all, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
.PP
Dostępność konkretnych protokołów zależy od użytej wersji OpenSSL.
Starsze wersje OpenSSL nie wspierają TLSv1.1, TLSv1.2, TLSv1.3.
Nowsze wersje OpenSSL nie wspierają SSLv2.
.PP
Przestarzałe protokoły SSLv2 i SSLv3 są domyślnie wyłączone.
.PP
Począwszy od \f[B]OpenSSL 1.1.0\f[R], ustawienie
.IP
.EX
sslVersion = WERSJA_SSL
.EE
.PP
jest równoważne opcjom
.IP
.EX
sslVersionMax = WERSJA_SSL
sslVersionMin = WERSJA_SSL
.EE
.RE
.IP \[bu] 2
\f[B]sslVersionMax\f[R] = WERSJA_SSL
.RS 2
.PP
maksymalna wspierana wersja protokołu TLS
.PP
Wspierane wersje: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
.PP
\f[I]all\f[R] włącza wszystkie wersje protokołów aż do maksymalnej
wersji wspieranej przez bibliotekę użytej wersji OpenSSL.
.PP
Dostępność konkretnych protokołów zależy od użytej wersji OpenSSL.
.PP
Opcja \f[I]sslVersionMax\f[R] jest dostępna począwszy od \f[B]OpenSSL
1.1.0\f[R].
.PP
domyślnie: all
.RE
.IP \[bu] 2
\f[B]sslVersionMin\f[R] = WERSJA_SSL
.RS 2
.PP
minimalna wspierana wersja protokołu TLS
.PP
Wspierane wersje: all, SSLv3, TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
.PP
\f[I]all\f[R] włącza wszystkie wersje protokołów aż do minimalnej wersji
wspieranej przez bibliotekę użytej wersji OpenSSL.
.PP
Dostępność konkretnych protokołów zależy od użytej wersji OpenSSL.
.PP
Opcja \f[I]sslVersionMin\f[R] jest dostępna począwszy od \f[B]OpenSSL
1.1.0\f[R].
.PP
domyślnie: TLSv1
.RE
.IP \[bu] 2
\f[B]stack\f[R] = LICZBA_BAJTÓW (z wyjątkiem modelu FORK)
.RS 2
.PP
rozmiar stosu procesora tworzonych wątków
.PP
Zbyt duży stos zwiększa zużycie pamięci wirtualnej.
Zbyt mały stos może powodować problemy ze stabilnością aplikacji.
.PP
domyślnie: 65536 bytes (wystarczający dla testowanych platform)
.RE
.IP \[bu] 2
\f[B]ticketKeySecret\f[R] = SECRET
.RS 2
.PP
szesnastkowy klucz symetryczny używany przez serwer do zapewnienia
poufności biletów sesji
.PP
Bilety sesji zdefiniowane w RFC 5077 zapewniają ulepszoną możliwość
wznawiania sesji, w której implementacja serwera nie jest wymagana do
utrzymania stanu sesji.
.PP
Łączne użycie opcji \f[I]ticketKeySecret\f[R] i
\f[I]ticketMacSecret\f[R] umożliwia wznawianie sesji na klastrze
serwerów lub wznowienie sesji po restarcie serwera.
.PP
Klucz musi mieć rozmiar 16 lub 32 bajtów, co przekłada się na dokładnie
32 lub 64 cyfry szesnastkowe.
Poszczególne bajty mogą być opcjonalnie oddzielone dwukropkami.
.PP
Opcja działa wyłącznie w trybie serwera.
.PP
Opcja \f[I]ticketKeySecret\f[R] jest dostępna począwszy od \f[B]OpenSSL
1.0.0\f[R].
.PP
Wyłączenie opcji \f[I]NO_TICKET\f[R] jest wymagane dla obsługi biletów
sesji w OpenSSL\-u starszym niż 1.1.1, ale opcja ta jest niekompatybilna
z opcją \f[I]redirect\f[R].
.RE
.IP \[bu] 2
\f[B]ticketMacSecret\f[R] = SECRET
.RS 2
.PP
szesnastkowy klucz symetryczny używany przez serwer zapewnienia
integralności biletów sesji
.PP
Klucz musi mieć rozmiar 16 lub 32 bajtów, co przekłada się na dokładnie
32 lub 64 cyfry szesnastkowe.
Poszczególne bajty mogą być opcjonalnie oddzielone dwukropkami.
.PP
Opcja działa wyłącznie w trybie serwera.
.PP
Opcja \f[I]ticketMacSecret\f[R] jest dostępna począwszy od \f[B]OpenSSL
1.0.0\f[R].
.RE
.IP \[bu] 2
\f[B]TIMEOUTbusy\f[R] = LICZBA_SEKUND
.RS 2
.PP
czas oczekiwania na spodziewane dane
.RE
.IP \[bu] 2
\f[B]TIMEOUTclose\f[R] = LICZBA_SEKUND
.RS 2
.PP
czas oczekiwania na close_notify (ustaw na 0, jeżeli klientem jest MSIE)
.RE
.IP \[bu] 2
\f[B]TIMEOUTconnect\f[R] = LICZBA_SEKUND
.RS 2
.PP
czas oczekiwania na nawiązanie połączenia
.RE
.IP \[bu] 2
\f[B]TIMEOUTidle\f[R] = LICZBA_SEKUND
.RS 2
.PP
maksymalny czas utrzymywania bezczynnego połączenia
.RE
.IP \[bu] 2
\f[B]TIMEOUTocsp\f[R] = LICZBA_SEKUND
.RS 2
.PP
czas oczekiwania na nawiązanie połączenia z serwerem OCSP
.RE
.IP \[bu] 2
\f[B]transparent\f[R] = none | source | destination | both (tylko Unix)
.RS 2
.PP
tryb przezroczystego proxy na wspieranych platformach
.PP
Wspierane wartości:
.IP \[bu] 2
\f[B]none\f[R]
.RS 2
.PP
Zablokuj wsparcie dla przezroczystego proxy.
Jest to wartość domyślna.
.RE
.IP \[bu] 2
\f[B]source\f[R]
.RS 2
.PP
Przepisz adres, aby nawiązywane połączenie wydawało się pochodzić
bezpośrednio od klienta, a nie od programu \f[B]stunnel\f[R].
.PP
Opcja jest aktualnie obsługiwana w:
.IP \[bu] 2
Trybie zdalnym (opcja \f[I]connect\f[R]) w systemie \f[I]Linux
>=2.6.28\f[R]
.RS 2
.PP
Konfiguracja wymaga następujących ustawień iptables oraz routingu (na
przykład w pliku /etc/rc.local lub analogicznym):
.IP
.EX
iptables \-t mangle \-N DIVERT
iptables \-t mangle \-A PREROUTING \-p tcp \-m socket \-j DIVERT
iptables \-t mangle \-A DIVERT \-j MARK \-\-set\-mark 1
iptables \-t mangle \-A DIVERT \-j ACCEPT
ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100
echo 0 >/proc/sys/net/ipv4/conf/lo/rp_filter
.EE
.PP
Konfiguracja ta wymaga, aby \f[B]stunnel\f[R] był wykonywany jako root i
bez opcji \f[I]setuid\f[R].
.RE
.IP \[bu] 2
Trybie zdalnym (opcja \f[I]connect\f[R]) w systemie \f[I]Linux
2.2.x\f[R]
.RS 2
.PP
Konfiguracja ta wymaga skompilowania jądra z opcją \f[I]transparent
proxy\f[R].
Docelowa usługa musi być umieszczona na osobnej maszynie, do której
routing kierowany jest poprzez serwer \f[B]stunnela\f[R].
.PP
Dodatkowo \f[B]stunnel\f[R] powinien być wykonywany jako root i bez
opcji \f[I]setuid\f[R].
.RE
.IP \[bu] 2
Trybie zdalnym (opcja \f[I]connect\f[R]) w systemie \f[I]FreeBSD
>=8.0\f[R]
.RS 2
.PP
Konfiguracja ta wymaga skonfigurowania firewalla i routingu.
\f[B]stunnel\f[R] musi być wykonywany jako root i bez opcji
\f[I]setuid\f[R].
.RE
.IP \[bu] 2
Trybie lokalnym (opcja \f[I]exec\f[R])
.RS 2
.PP
Konfiguracja ta jest realizowana przy pomocy biblioteki
\f[I]libstunnel.so\f[R].
Do załadowania biblioteki wykorzystywana jest zmienna środowiskowa
_RLD_LIST na platformie Tru64 lub LD_PRELOAD na innych platformach.
.RE
.RE
.IP \[bu] 2
\f[I]destination\f[R]
.RS 2
.PP
Oryginalny adres docelowy jest używany zamiast opcji \f[I]connect\f[R].
.PP
Przykładowa konfiguracja przezroczystego adresu docelowego:
.IP
.EX
[transparent]
client = yes
accept = <port_stunnela>
transparent = destination
.EE
.PP
Konfiguracja wymaga ustawień iptables, na przykład w pliku /etc/rc.local
lub analogicznym.
.PP
W przypadku docelowej usługi umieszczonej na tej samej maszynie:
.IP
.EX
/sbin/iptables \-t nat \-I OUTPUT \-p tcp \-\-dport <port_przekierowany> \[rs]
    \-m ! \-\-uid\-owner <identyfikator_użytkownika_stunnela> \[rs]
    \-j DNAT \-\-to\-destination <lokalne_ip>:<lokalny_port>
.EE
.PP
W przypadku docelowej usługi umieszczonej na zdalnej maszynie:
.IP
.EX
/sbin/iptables \-I INPUT \-i eth0 \-p tcp \-\-dport <port_stunnela> \-j ACCEPT
/sbin/iptables \-t nat \-I PREROUTING \-p tcp \-\-dport <port_przekierowany> \[rs]
    \-i eth0 \-j DNAT \-\-to\-destination <lokalne_ip>:<port_stunnela>
.EE
.PP
Przezroczysty adres docelowy jest aktualnie wspierany wyłącznie w
systemie Linux.
.RE
.IP \[bu] 2
\f[I]both\f[R]
.RS 2
.PP
Użyj przezroczystego proxy zarówno dla adresu źródłowego jak i
docelowego.
.RE
.PP
Dla zapewnienia kompatybilności z wcześniejszymi wersjami wspierane są
dwie dodatkowe opcje:
.IP \[bu] 2
\f[I]yes\f[R]
.RS 2
.PP
Opcja została przemianowana na \f[I]source\f[R].
.RE
.IP \[bu] 2
\f[I]no\f[R]
.RS 2
.PP
Opcja została przemianowana na \f[I]none\f[R].
.RE
.RE
.IP \[bu] 2
\f[B]verify\f[R] = POZIOM
.RS 2
.PP
weryfikuj certyfikat drugiej strony połączenia
.PP
Opcja ta jest przestarzała i należy ją zastąpić przez opcje
\f[I]verifyChain\f[R] i \f[I]verifyPeer\f[R].
.IP \[bu] 2
\f[I]poziom 0\f[R]
.RS 2
.PP
zarządaj certyfikatu i zignoruj go
.RE
.IP \[bu] 2
\f[I]poziom 1\f[R]
.RS 2
.PP
weryfikuj, jeżeli został przedstawiony
.RE
.IP \[bu] 2
\f[I]poziom 2\f[R]
.RS 2
.PP
weryfikuj z zainstalowanym certyfikatem Centrum Certyfikacji
.RE
.IP \[bu] 2
\f[I]poziom 3\f[R]
.RS 2
.PP
weryfikuj z lokalnie zainstalowanym certyfikatem drugiej strony
.RE
.IP \[bu] 2
\f[I]poziom 4\f[R]
.RS 2
.PP
weryfikuj z certyfikatem drugiej strony ignorując łańcuch CA
.RE
.IP \[bu] 2
\f[I]domyślnie\f[R]
.RS 2
.PP
nie weryfikuj
.RE
.RE
.IP \[bu] 2
\f[B]verifyChain\f[R] = yes | no
.RS 2
.PP
weryfikuj łańcuch certyfikatów drugiej strony
.PP
Do weryfikacji certyfikatu serwera kluczowe jest, aby wymagać również
konkretnego certyfikatu przy pomocy \f[I]checkHost\f[R] lub
\f[I]checkIP\f[R].
.PP
Samopodpisany certyfikat głównego CA należy umieścić albo w pliku
podanym w opcji \f[I]CAfile\f[R], albo w katalogu podanym w opcji
\f[I]CApath\f[R].
.PP
domyślnie: no
.RE
.IP \[bu] 2
\f[B]verifyPeer\f[R] = yes | no
.RS 2
.PP
weryfikuj certyfikat drugiej strony
.PP
Certyfikat drugiej strony należy umieścić albo w pliku podanym w opcji
\f[I]CAfile\f[R], albo w katalogu podanym w opcji \f[I]CApath\f[R].
.PP
domyślnie: no
.RE
.SH ZWRACANA WARTOŚĆ
\f[B]stunnel\f[R] zwraca zero w przypadku sukcesu, lub wartość niezerową
w przypadku błędu.
.SH SIGNAŁY
Następujące sygnały mogą być użyte do sterowania programem w systemie
Unix:
.IP \[bu] 2
SIGHUP
.RS 2
.PP
Załaduj ponownie plik konfiguracyjny.
.PP
Niektóre globalne opcje nie będą przeładowane:
.IP \[bu] 2
chroot
.IP \[bu] 2
foreground
.IP \[bu] 2
pid
.IP \[bu] 2
setgid
.IP \[bu] 2
setuid
.PP
Jeżeli wykorzystywana jest opcja `setuid' \f[B]stunnel\f[R] nie będzie
mógł załadować ponownie konfiguracji wykorzystującej uprzywilejowane
(<1024) porty.
.PP
Jeżeli wykorzystywana jest opcja `chroot' \f[B]stunnel\f[R] będzie
szukał wszystkich potrzebnych plików (łącznie z plikiem konfiguracyjnym,
certyfikatami, logiem i plikiem pid) wewnątrz katalogu wskazanego przez
`chroot'.
.RE
.IP \[bu] 2
SIGUSR1
.RS 2
.PP
Zamknij i otwórz ponownie log.
Funkcja ta może zostać użyta w skrypcie rotującym log programu
\f[B]stunnel\f[R].
.RE
.IP \[bu] 2
SIGUSR2
.RS 2
.PP
Zapisz w logu listę aktywnych połączeń.
.RE
.IP \[bu] 2
SIGTERM, SIGQUIT, SIGINT
.RS 2
.PP
Zakończ działanie programu.
.RE
.PP
Skutek wysłania innych sygnałów jest niezdefiniowany.
.SH PRZYKŁADY
Szyfrowanie połączeń do lokalnego serwera \f[I]imapd\f[R] można użyć:
.IP
.EX
[imapd]
accept = 993
exec = /usr/sbin/imapd
execArgs = imapd
.EE
.PP
albo w trybie zdalnym:
.IP
.EX
[imapd]
accept = 993
connect = 143
.EE
.PP
Aby umożliwić lokalnemu klientowi poczty elektronicznej korzystanie z
serwera \f[I]imapd\f[R] przez TLS należy skonfigurować pobieranie poczty
z adresu localhost i portu 119, oraz użyć następującej konfiguracji:
.IP
.EX
[imap]
client = yes
accept = 143
connect = serwer:993
.EE
.PP
W połączeniu z programem \f[I]pppd\f[R] \f[B]stunnel\f[R] pozwala
zestawić prosty VPN.
Po stronie serwera nasłuchującego na porcie 2020 jego konfiguracja może
wyglądać następująco:
.IP
.EX
[vpn]
accept = 2020
exec = /usr/sbin/pppd
execArgs = pppd local
pty = yes
.EE
.PP
Poniższy plik konfiguracyjny może być wykorzystany do uruchomienia
programu \f[B]stunnel\f[R] w trybie \f[I]inetd\f[R].
Warto zauważyć, że w pliku konfiguracyjnym nie ma sekcji
\f[I][nazwa_usługi]\f[R].
.IP
.EX
exec = /usr/sbin/imapd
execArgs = imapd
.EE
.PP
Aby skonfigurować VPN można użyć następującej konfiguracji klienta:
.IP
.EX
[socks_client]
client = yes
accept = 127.0.0.1:1080
connect = vpn_server:9080
verifyPeer = yes
CAfile = stunnel.pem
.EE
.PP
Odpowiadająca jej konfiguracja serwera vpn_server:
.IP
.EX
[socks_server]
protocol = socks
accept = 9080
cert = stunnel.pem
key = stunnel.key
.EE
.PP
Do przetestowania konfiguracji można wydać na maszynie klienckiej
komendę:
.IP
.EX
curl \-\-socks4a localhost http://www.example.com/
.EE
.PP
Przykładowa konfiguracja serwera SNI:
.IP
.EX
[virtual]
; usługa nadrzędna
accept = 443
cert =  default.pem
connect = default.internal.mydomain.com:8080

[sni1]
; usługa podrzędna 1
sni = virtual:server1.mydomain.com
cert = server1.pem
connect = server1.internal.mydomain.com:8081

[sni2]
; usługa podrzędna 2
sni = virtual:server2.mydomain.com
cert = server2.pem
connect = server2.internal.mydomain.com:8082
verifyPeer = yes
CAfile = server2\-allowed\-clients.pem
.EE
.PP
Przykładowa konfiguracja umożliwiająca uwierzytelnienie z użyciem klucza
prywatnego przechowywanego w Windows Certificate Store (tylko Windows):
.IP
.EX
engine = capi

[service]
engineId = capi
client = yes
accept = 127.0.0.1:8080
connect = example.com:8443
.EE
.PP
W przypadku użycia silnika CAPI, nie należy ustawiać opcji cert, gdyż
klucz klienta zostanie automatycznie pobrany z Certificate Store na
podstawie zaufanych certyfikatów CA przedstawionych przez serwer.
.PP
Przykładowa konfiguracja umożliwiająca użycie certyfikatu i klucza
prywatnego z urządzenia obsługiwanego przez silnik pkcs11:
.IP
.EX
engine = pkcs11
engineCtrl = MODULE_PATH:opensc\-pkcs11.so
engineCtrl = PIN:123456

[service]
engineId = pkcs11
client = yes
accept = 127.0.0.1:8080
connect = example.com:843
cert = pkcs11:token=MyToken;object=MyCert
key = pkcs11:token=MyToken;object=MyKey
.EE
.PP
Przykładowa konfiguracja umożliwiająca użycie certyfikatu i klucza
prywatnego umieszczonego na tokenie SoftHSM:
.IP
.EX
engine = pkcs11
engineCtrl = MODULE_PATH:softhsm2.dll
engineCtrl = PIN:12345

[service]
engineId = pkcs11
client = yes
accept = 127.0.0.1:8080
connect = example.com:843
cert = pkcs11:token=MyToken;object=KeyCert
.EE
.PP
Przykładowa konfiguracja umożliwiająca użycie certyfikatu i klucza
prywatnego z urządzenia obsługiwanego przez provider
\[ga]pkcs11prov\[ga]:
.PP
Uwaga: wymaga OpenSSL 3.0 lub nowszego
.IP
.EX
setEnv = PKCS11_MODULE_PATH=opensc\-pkcs11.dll
setEnv = PKCS11_PIN:123456
provider = pkcs11prov

[service]
client = yes
accept = 127.0.0.1:8080
connect = example.com:843
cert = pkcs11:token=MyToken;object=MyCert
key = pkcs11:token=MyToken;object=MyKey
.EE
.PP
Uwaga: wymaga OpenSSL 3.5 lub nowszego
.IP
.EX
provider = pkcs11prov
providerParameter = pkcs11prov:pkcs11_module=opensc\-pkcs11.dll
providerParameter = pkcs11prov:pin=123456

[service]
client = yes
accept = 127.0.0.1:8080
connect = example.com:843
cert = pkcs11:token=MyToken;object=MyCert
key = pkcs11:token=MyToken;object=MyKey
.EE
.PP
W systemie Windows biblioteka PKCS#11 musi znajdować się w katalogu
\[ga]ossl\-modules\[ga], lub należy podać jej pełną ścieżkę bezwzględną
w \[ga]PKCS11_MODULE_PATH\[ga] lub parametrze \[ga]pkcs11_module\[ga].
.SH NOTKI
.SS OGRANICZENIA
\f[B]stunnel\f[R] nie może być używany do szyfrowania protokołu
\f[I]FTP\f[R], ponieważ do przesyłania poszczególnych plików używa on
dodatkowych połączeń otwieranych na portach o dynamicznie przydzielanych
numerach.
Istnieją jednak specjalne wersje klientów i serwerów FTP pozwalające na
szyfrowanie przesyłanych danych przy pomocy protokołu \f[I]TLS\f[R].
.SS TRYB INETD (tylko Unix)
W większości zastosowań \f[B]stunnel\f[R] samodzielnie nasłuchuje na
porcie podanym w pliku konfiguracyjnym i tworzy połączenie z innym
portem podanym w opcji \f[I]connect\f[R] lub nowym programem podanym w
opcji \f[I]exec\f[R].
Niektórzy wolą jednak wykorzystywać oddzielny program, który odbiera
połączenia, po czym uruchamia program \f[B]stunnel\f[R].
Przykładami takich programów są inetd, xinetd i tcpserver.
.PP
Przykładowa linia pliku /etc/inetd.conf może wyglądać tak:
.IP
.EX
imaps stream tcp nowait root /usr/bin/stunnel
    stunnel /etc/stunnel/imaps.conf
.EE
.PP
Ponieważ w takich przypadkach połączenie na zdefiniowanym porcie (tutaj
\f[I]imaps\f[R]) nawiązuje osobny program (tutaj \f[I]inetd\f[R]),
\f[B]stunnel\f[R] nie może używać opcji \f[I]accept\f[R].
W pliku konfiguracyjnym nie może być również zdefiniowana żadna usługa
(\f[I][nazwa_usługi]\f[R]), ponieważ konfiguracja taka pozwala na
nawiązanie tylko jednego połączenia.
Wszystkie \f[I]OPCJE USŁUG\f[R] powinny być umieszczone razem z opcjami
globalnymi.
Przykład takiej konfiguracji znajduje się w sekcji \f[I]PRZYKŁADY\f[R].
.SS CERTYFIKATY
Protokół TLS wymaga, aby każdy serwer przedstawiał się nawiązującemu
połączenie klientowi prawidłowym certyfikatem X.509.
Potwierdzenie tożsamości serwera polega na wykazaniu, że posiada on
odpowiadający certyfikatowi klucz prywatny.
Najprostszą metodą uzyskania certyfikatu jest wygenerowanie go przy
pomocy wolnego pakietu \f[B]OpenSSL\f[R].
Więcej informacji na temat generowania certyfikatów można znaleźć na
umieszczonych poniżej stronach.
.PP
Plik \f[I].pem\f[R] powinien zawierać klucz prywatny oraz podpisany
certyfikat (nie żądanie certyfikatu).
Otrzymany plik powinien mieć następującą postać:
.IP
.EX
\-\-\-\-\-BEGIN RSA PRIVATE KEY\-\-\-\-\-
[zakodowany klucz]
\-\-\-\-\-END RSA PRIVATE KEY\-\-\-\-\-
\-\-\-\-\-BEGIN CERTIFICATE\-\-\-\-\-
[zakodowany certyfikat]
\-\-\-\-\-END CERTIFICATE\-\-\-\-\-
.EE
.SS LOSOWOŚĆ
\f[B]stunnel\f[R] potrzebuje zainicjować PRNG (generator liczb
pseudolosowych), gdyż protokół TLS wymaga do bezpieczeństwa
kryptograficznego źródła dobrej losowości.
Następujące źródła są kolejno odczytywane aż do uzyskania wystarczającej
ilości entropii:
.IP \[bu] 2
Zawartość pliku podanego w opcji \f[I]RNDfile\f[R].
.IP \[bu] 2
Zawartość pliku o nazwie określonej przez zmienną środowiskową RANDFILE,
o ile jest ona ustawiona.
.IP \[bu] 2
Plik .rnd umieszczony w katalogu domowym użytkownika, jeżeli zmienna
RANDFILE nie jest ustawiona.
.IP \[bu] 2
Plik podany w opcji `\-\-with\-random' w czasie konfiguracji programu.
.IP \[bu] 2
Zawartość ekranu w systemie Windows.
.IP \[bu] 2
Gniazdo egd, jeżeli użyta została opcja \f[I]EGD\f[R].
.IP \[bu] 2
Gniazdo egd podane w opcji `\-\-with\-egd\-socket' w czasie konfiguracji
programu.
.IP \[bu] 2
Urządzenie /dev/urandom.
.PP
Warto zwrócić uwagę, że na maszynach z systemem Windows, na których
konsoli nie pracuje użytkownik, zawartość ekranu nie jest wystarczająco
zmienna, aby zainicjować PRNG.
W takim przypadku do zainicjowania generatora należy użyć opcji
\f[I]RNDfile\f[R].
.PP
Plik \f[I]RNDfile\f[R] powinien zawierać dane losowe \-\- również w tym
sensie, że powinny być one inne przy każdym uruchomieniu programu
\f[B]stunnel\f[R].
O ile nie użyta została opcja \f[I]RNDoverwrite\f[R] jest to robione
automatycznie.
Do ręcznego uzyskania takiego pliku użyteczna może być komenda
\f[I]openssl rand\f[R] dostarczana ze współczesnymi wersjami pakietu
\f[B]OpenSSL\f[R].
.PP
Jeszcze jedna istotna informacja \-\- jeżeli dostępne jest urządzenie
\f[I]/dev/urandom\f[R] biblioteka \f[B]OpenSSL\f[R] ma zwyczaj zasilania
nim PRNG w trakcie sprawdzania stanu generatora.
W systemach z \f[I]/dev/urandom\f[R] urządzenie to będzie
najprawdopodobniej użyte, pomimo że znajduje się na samym końcu
powyższej listy.
Jest to właściwość biblioteki \f[B]OpenSSL\f[R], a nie programu
\f[B]stunnel\f[R].
.SS PARAMETRY DH
Począwszy od wersji 4.40 \f[B]stunnel\f[R] zawiera w kodzie programu
2048\-bitowe parametry DH.
Od wersji 5.18 te początkowe wartości parametrów DH są wymieniane na
automatycznie generowane parametry tymczasowe.
Wygenerowanie parametrów DH może zająć nawet wiele minut.
.PP
Alternatywnie parametry DH można umieścić w pliku razem z certyfikatem,
co wyłącza generowanie parametrów tymczasowych:
.IP
.EX
openssl dhparam 2048 >> stunnel.pem
.EE
.SH PLIKI
.IP \[bu] 2
\f[I]/etc/stunnel/stunnel.conf\f[R]
.RS 2
.PP
plik konfiguracyjny programu
.RE
.SH BŁĘDY
Opcja \f[I]execArgs\f[R] oraz linia komend Win32 nie obsługuje
cytowania.
.SH ZOBACZ RÓWNIEŻ
.IP \[bu] 2
\c
.UR https://www.stunnel.org/
.UE \c
.RS 2
.PP
aplikacja \f[B]stunnel\f[R]
.RE
.IP \[bu] 2
\c
.UR https://openssl-library.org/
.UE \c
.RS 2
.PP
biblioteka \f[B]OpenSSL\f[R]
.RE
.SH AUTOR
.IP \[bu] 2
Michał Trojnara
.RS 2
.PP
\c
.MT Michal.Trojnara@stunnel.org
.ME \c
.RE