Stunnel: SSL から SSL

Question 1

stunnelは非SSLとSSLの間にゲートウェイを作成するプログラムです。ホームページの説明:

Stunnelは、プログラムのコードを変更することなく、既存のクライアントとサーバーにTLS暗号化機能を追加するように設計されたプロキシです。

このツールはSSLからSSLへのゲートウェイを作成するために設計されたものではありません。必要なのは、次のような単純なTCPフォワーダーだけです。ソカット:

socat TCP4-LISTEN:1988,fork TCP4:127.0.0.1:41952

このフォワーダーを使用すると、192.168.1.17:1988 への接続は 127.0.0.1:41952 に転送されます。転送は TCP レベルで行われるため、クライアントはサーバーから元の証明書を取得します。サーバーは、接続が 127.0.0.1 から来ていることを認識します。

編集: 何度もやり取りした結果、質問で正しいソースホスト名を主張することや、応答で正しい Referer を主張することではなく、Host HTTP 要求ヘッダーに期待値 'localhost' を設定することが目的であることが明らかになりました。ホストヘッダーは URL から設定されるため、要求がリモートシステムに転送され、ブラウザーが URL を独自に解決しようとしていないことを確認する必要があります。そうしないと、ブラウザーが実行中のマシン上のサーバーに接続しようとします。URL の解決をターゲットシステムに延期するには、そこでプロキシを実行する必要があります。つまり、試した Charles Proxy のようなものか、SOCKS プロキシのいずれかです。

Answer

stunnelは非SSLとSSLの間にゲートウェイを作成するプログラムです。ホームページの説明:

Stunnelは、プログラムのコードを変更することなく、既存のクライアントとサーバーにTLS暗号化機能を追加するように設計されたプロキシです。

このツールはSSLからSSLへのゲートウェイを作成するために設計されたものではありません。必要なのは、次のような単純なTCPフォワーダーだけです。ソカット:

socat TCP4-LISTEN:1988,fork TCP4:127.0.0.1:41952

このフォワーダーを使用すると、192.168.1.17:1988 への接続は 127.0.0.1:41952 に転送されます。転送は TCP レベルで行われるため、クライアントはサーバーから元の証明書を取得します。サーバーは、接続が 127.0.0.1 から来ていることを認識します。

編集: 何度もやり取りした結果、質問で正しいソースホスト名を主張することや、応答で正しい Referer を主張することではなく、Host HTTP 要求ヘッダーに期待値 'localhost' を設定することが目的であることが明らかになりました。ホストヘッダーは URL から設定されるため、要求がリモートシステムに転送され、ブラウザーが URL を独自に解決しようとしていないことを確認する必要があります。そうしないと、ブラウザーが実行中のマシン上のサーバーに接続しようとします。URL の解決をターゲットシステムに延期するには、そこでプロキシを実行する必要があります。つまり、試した Charles Proxy のようなものか、SOCKS プロキシのいずれかです。

Question 2

だから接続するにはhttps://192.168.1.10:1988IP 192.168.1.10 のホスト上のループバックインターフェイスのポート 4952 でリッスンする SSL サービスに到達します。

目的を達成するには、2 つのスタンネルスタンザが必要です。

[myservice]
cert = stunnel.pem
client = no
accept = 0.0.0.0:1988
connect = localhost:1987

[myserviceaux]
cert = stunnel.pem
client = yes
accept = localhost:1987
connect = localhost:4952

私が達成できない唯一のことは、stunnel のすべてのリクエストのヘッダーホストを localhost に変更することです。

curl からは完璧に動作しています:

$ curl https://192.168.1.10:41951/DYMO/DLS/Printing/Check -k -H "Host: localhost"

Answer