3
<TITLE>stunnel.8</TITLE>
4
<LINK REV="made" HREF="mailto:perl@packages.debian.org">
9
<A NAME="__index__"></A>
1
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
2
<html xmlns="http://www.w3.org/1999/xhtml">
4
<meta http-equiv=content-type content="text/html; charset=ISO-8859-1">
5
<title>stunnel.8</title>
6
<link rev="made" href="mailto:root@localhost" />
9
<body style="background-color: white">
11
<p><a name="__index__"></a></p>
10
12
<!-- INDEX BEGIN -->
14
<LI><A HREF="#nom">NOM</A></LI>
15
<LI><A HREF="#synopsis">SYNOPSIS</A></LI>
16
<LI><A HREF="#description">DESCRIPTION</A></LI>
17
<LI><A HREF="#options">OPTIONS</A></LI>
18
<LI><A HREF="#fichier de configuration">FICHIER DE CONFIGURATION</A></LI>
21
<LI><A HREF="#options globales">OPTIONS GLOBALES</A></LI>
22
<LI><A HREF="#options de niveau service">OPTIONS DE NIVEAU SERVICE</A></LI>
25
<LI><A HREF="#valeur de retour">VALEUR DE RETOUR</A></LI>
26
<LI><A HREF="#exemples">EXEMPLES</A></LI>
27
<LI><A HREF="#fichiers">FICHIERS</A></LI>
28
<LI><A HREF="#bugs">BUGS</A></LI>
29
<LI><A HREF="#restrictions">RESTRICTIONS</A></LI>
30
<LI><A HREF="#notes">NOTES</A></LI>
33
<LI><A HREF="#mode inetd">MODE INETD</A></LI>
34
<LI><A HREF="#certificats">CERTIFICATS</A></LI>
35
<LI><A HREF="#al�atoires">AL�ATOIRES</A></LI>
38
<LI><A HREF="#voir aussi">VOIR AUSSI</A></LI>
39
<LI><A HREF="#auteur">AUTEUR</A></LI>
16
<li><a href="#nom">NOM</a></li>
17
<li><a href="#synopsis">SYNOPSIS</a></li>
18
<li><a href="#description">DESCRIPTION</a></li>
19
<li><a href="#options">OPTIONS</a></li>
20
<li><a href="#fichier_de_configuration">FICHIER DE CONFIGURATION</a></li>
23
<li><a href="#options_globales">OPTIONS GLOBALES</a></li>
24
<li><a href="#options_de_service">OPTIONS DE SERVICE</a></li>
27
<li><a href="#valeur_de_retour">VALEUR DE RETOUR</a></li>
28
<li><a href="#exemples">EXEMPLES</a></li>
29
<li><a href="#fichiers">FICHIERS</a></li>
30
<li><a href="#bogues">BOGUES</a></li>
31
<li><a href="#restrictions">RESTRICTIONS</a></li>
32
<li><a href="#notes">NOTES</a></li>
35
<li><a href="#mode_inetd">MODE INETD</a></li>
36
<li><a href="#certificats">CERTIFICATS</a></li>
37
<li><a href="#aleatoire">ALEATOIRE</a></li>
40
<li><a href="#voir_aussi">VOIR AUSSI</a></li>
41
<li><a href="#auteur">AUTEUR</a></li>
42
<li><a href="#adaptation_fran_aise">ADAPTATION FRAN�AISE</a></li>
45
<H1><A NAME="nom">NOM</A></H1>
46
<P>stunnel - tunnel SSL universel</P>
49
<H1><A NAME="synopsis">SYNOPSIS</A></H1>
50
<P><STRONG>stunnel</STRONG> [filename] | -help | -version | -sockets</P>
53
<H1><A NAME="description">DESCRIPTION</A></H1>
54
<P>Le programme <STRONG>stunnel</STRONG> est con�u pour agir en tant que wrapper de chiffrement <EM>SSL</EM>
55
entre des clients distants et des serveurs locaux (activables par <EM>inetd</EM>) ou distants.
56
Le concept est qu'ayant des daemons non-SSL sur votre syst�me, il est possible de
57
les configurer ais�ment pour communiquer avec des clients sur des canaux SSL s�curis�s.</P>
58
<P><STRONG>stunnel</STRONG> peut �tre utilis� pour ajouter une fonctionnalit� SSL � des daemons <EM>Inetd</EM>
59
communs, tels que les serveurs POP-2, POP-3 et IMAP, � des daemons autonomes tels
60
que NNTP, SMTP et HTTP et pour tunneliser PPP sur des sockets r�seaux sans modification
62
<P>Ce produit contient du code de chiffrement �crit par
63
Eric Young (<A HREF="mailto:eay@cryptsoft.com">eay@cryptsoft.com</A>)</P>
66
<H1><A NAME="options">OPTIONS</A></H1>
68
<DT><STRONG><A NAME="item_%5Bfilename%5D"><STRONG>[filename]</STRONG></A></STRONG><BR>
70
Utilise le fichier de configuration sp�cifi�
72
<DT><STRONG><A NAME="item_%2Dhelp"><STRONG>-help</STRONG></A></STRONG><BR>
74
Affiche le menu d'aide de <STRONG>stunnel</STRONG>
76
<DT><STRONG><A NAME="item_%2Dversion"><STRONG>-version</STRONG></A></STRONG><BR>
78
Affiche la version et la configuration de compilation de <STRONG>stunnel</STRONG>
80
<DT><STRONG><A NAME="item_%2Dsockets"><STRONG>-sockets</STRONG></A></STRONG><BR>
82
Affiche les options par d�faut des sockets
84
<DT><STRONG><A NAME="item_install"><STRONG>-install</STRONG> (NT/2000/XP seulement)</A></STRONG><BR>
86
Installe le service NT
88
<DT><STRONG><A NAME="item_uninstall"><STRONG>-uninstall</STRONG> (NT/2000/XP seulement)</A></STRONG><BR>
90
D�sinstalle le service NT
94
<H1><A NAME="fichier de configuration">FICHIER DE CONFIGURATION</A></H1>
95
<P>Chaque ligne du fichier de configuration peut �tre soit :</P>
98
une ligne vide (ignor�e) ;
101
un commentaire d�butant par un ``#'' (ignor�) ;
104
une paire ``option = valeur'' ;
107
``[service]'' indiquant le d�but d'une d�finition de service.
110
<H2><A NAME="options globales">OPTIONS GLOBALES</A></H2>
112
<DT><STRONG><A NAME="item_CApath_%3D_r�pertoire"><STRONG>CApath</STRONG> = r�pertoire</A></STRONG><BR>
114
R�pertoire de l'autorit� de certification
115
<P>C'est le r�pertoire dans lequel <STRONG>stunnel</STRONG> cherche les certificats avec
117
Les certificats doivent �tre nomm�s XXXXXXXX.0 o� XXXXXXXX est la valeur
118
de hachage du certificat.</P>
120
<DT><STRONG><A NAME="item_CAfile_%3D_fichier"><STRONG>CAfile</STRONG> = fichier</A></STRONG><BR>
122
Fichier de l'autorit� de certification
123
<P>Ce fichier contients plusieurs certificats utilis�s avec <EM>verify</EM>.</P>
125
<DT><STRONG><A NAME="item_cert_%3D_fichier"><STRONG>cert</STRONG> = fichier</A></STRONG><BR>
127
Nom du fichier de la cha�ne de certification PEM
128
<P>Une PEM est toujours n�cessaire en mode serveur.
129
En mode client, cette option utilise cette cha�ne comme cha�ne de certificat client.
130
L'utilisation de certificats clients est optionnelle.
131
Les certificats doivent �tre au format PEM et tri�s par ordre de niveau d�croissant
132
(� partir de l'autorit� racine).</P>
134
<DT><STRONG><A NAME="item_r�pertoire"><STRONG>chroot</STRONG> = r�pertoire (Unix seulement)</A></STRONG><BR>
136
r�pertoire de chroot pour le processus <STRONG>stunnel</STRONG>.
137
<P><STRONG>chroot</STRONG> enferme <STRONG>stunnel</STRONG> dans une cellule d'arborescence.
138
<EM>CApath</EM>, <EM>pid</EM> et <EM>exec</EM> sont dispos�s � l'int�rieur de la cellule et les chemins
139
doivent �tre relatifs au r�pertoire <STRONG>chroot</STRONG>.</P>
140
<P>Pour que le contr�le libwrap (TCP wrappers) soit effectif en environnement
141
chroot, il faut y copier ses fichiers de configuration (/etc/hosts.allow et
142
/etc/hosts.deny).</P>
144
<DT><STRONG><A NAME="item_ciphers_%3D_liste"><STRONG>ciphers</STRONG> = liste</A></STRONG><BR>
146
S�lection des codages SSL autoris�s
147
<P>Liste d�limit�e des codages � autoriser dans une connexion SSL.
148
Par exemple : DES-CBC3-SHA:IDEA-CBC-MD5</P>
150
<DT><STRONG><A NAME="item_client_%3D_yes_%7C_no"><STRONG>client</STRONG> = yes | no</A></STRONG><BR>
152
Mode client (le service distant utilise SSL)
153
<P>d�faut: no (mpde serveur)</P>
155
<DT><STRONG><A NAME="item_debug_%3D_%5Bfacilit�%2E%5Dniveau"><STRONG>debug</STRONG> = [facilit�.]niveau</A></STRONG><BR>
157
Niveau de d�verminage
158
<P>Le niveau est en phase avec ceux de syslog :
49
<h1><a name="nom">NOM</a></h1>
50
<p>stunnel - tunnel SSL universel</p>
54
<h1><a name="synopsis">SYNOPSIS</a></h1>
56
<dt><strong><a name="item_unix_3a"><strong>Unix:</strong></a></strong><br />
59
<strong>stunnel</strong> [fichier] | -fd [n] | -help | -version | -sockets
62
<dt><strong><a name="item_win32_3a"><strong>WIN32:</strong></a></strong><br />
65
<strong>stunnel</strong> [fichier] | -install | -uninstall | -help | -version | -sockets
71
<h1><a name="description">DESCRIPTION</a></h1>
72
<p>Le programme <strong>stunnel</strong> est con�u pour fonctionner comme une couche
73
de chiffrement <em>SSL</em> entre des clients distants et des serveurs locaux
74
(<em>inetd</em>-d�marrables) ou distants. Le concept est qu'� partir de daemons
75
non-SSL pr�sents sur le syst�me, on peut facilement les configurer pour
76
communiquer avec des clients sur des liens s�curis�s SSL.</p>
77
<p><strong>stunnel</strong> peut �tre utilis� pour ajouter des fonctionnalit�s SSL � des
78
daemons classiques <em>Inetd</em> tels que les serveurs POP-2, POP-3 et IMAP,
79
� d'autres autonomes tels que NNTP, SMTP et HTTP, ainsi que pour tunneliser
80
PPP sur des sockets r�seau sans modification du code source.</p>
81
<p>Ce produit inclut du code de chiffrement �crit par
82
Eric Young (<a href="mailto:eay@cryptsoft.com">eay@cryptsoft.com</a>)</p>
86
<h1><a name="options">OPTIONS</a></h1>
88
<dt><strong><a name="item__5bfichier_5d"><strong>[fichier]</strong></a></strong><br />
91
Utilisation du fichier de configuration sp�cifi�.
94
<dt><strong><a name="item__2dfd__5bn_5d__28unix_seulement_29"><strong>-fd [n]</strong> (Unix seulement)</a></strong><br />
97
Lecture du fichier de configuration depuis le descripteur de
101
<dt><strong><a name="item__2dhelp"><strong>-help</strong></a></strong><br />
104
Affiche le menu d'aide de <strong>stunnel</strong>.
107
<dt><strong><a name="item__2dversion"><strong>-version</strong></a></strong><br />
110
Affiche la version de <strong>stunnel</strong> et les options de compilation.
113
<dt><strong><a name="item__2dsockets"><strong>-sockets</strong></a></strong><br />
116
Affiche les options socket par d�faut.
119
<dt><strong><a name="item_install"><strong>-install</strong> (NT/2000/XP seulement)</a></strong><br />
122
Installe un service NT.
125
<dt><strong><a name="item_uninstall"><strong>-uninstall</strong> (NT/2000/XP only)</a></strong><br />
128
D�sinstalle un service NT.
134
<h1><a name="fichier_de_configuration">FICHIER DE CONFIGURATION</a></h1>
135
<p>Chaque ligne du fichier de configuration peut �tre soit :</p>
138
une ligne vide (ignor�e) ;
141
un commentaire commen�ant par � # � (ignor�) ;
144
une paire � option = valeur � ;
147
� [service_name] � indiquant le d�but de la d�finition d'un service ;
151
<h2><a name="options_globales">OPTIONS GLOBALES</a></h2>
153
<dt><strong><a name="item_capath__3d_r_e9pertoire"><strong>CApath</strong> = r�pertoire</a></strong><br />
156
R�pertoire des autorit�s de certification (CA)
159
<p>C'est le r�pertoire dans lequel <strong>stunnel</strong> cherche les certificats si
160
l'on utilise <em>verify</em>. Les certificats doivent �tre d�nomm�s selon la
161
forme XXXXXXXX.0, o� XXXXXXXX est la valeur de hachage du certificat.</p>
164
<p>Le cas �ch�ant, le r�pertoire <em>CApath</em> est relatif au r�pertoire <em>chroot</em>.</p>
167
<dt><strong><a name="item_cafile__3d_fichier"><strong>CAfile</strong> = fichier</a></strong><br />
170
Fichier d'autorit�s de certification
173
<p>Ce fichier, utilis� avec <em>verify</em>, contient plusieurs certificats de CA.</p>
176
<dt><strong><a name="item_cert__3d_fichier"><strong>cert</strong> = fichier</a></strong><br />
179
Fichier de cha�ne de certificats PEM
182
<p>Une PEM est toujours n�cessaire en mode serveur.
183
En mode client, cette option utilise cette PEM comme une cha�ne c�t� client.
184
L'utilisation de certificats c�t� client est optionnelle. Les certificats
185
doivent �tre au format PEM et tri�s par ordre de niveau d�croissant (CA racine
189
<dt><strong><a name="item_pertoire"><strong>chroot</strong> = r�pertoire (Unix seulement)</a></strong><br />
192
R�pertoire de chroot du processus <strong>stunnel</strong>
195
<p><strong>chroot</strong> enferme <strong>stunnel</strong> dans une cellule chroot. <em>CApath</em>, <em>CRLpath</em>, <em>pid</em>
196
et <em>exec</em> sont situ�s � l'int�rieur de la cellule et les r�pertoires doivent �tre
197
relatifs au r�pertoire correspondant.</p>
200
<p>Pour que le contr�le de libwrap (wrappeur TCP) soit effectif dans un environnement
201
chroot, il faut aussi y recopier leurs fichiers de configuration (/etc/hosts.allow et
202
/etc/hosts.deny).</p>
205
<dt><strong><a name="item_ciphers__3d_listes_de_chiffre"><strong>ciphers</strong> = listes de chiffre</a></strong><br />
208
S�lection des chiffres SSL autoris�s
211
<p>Liste d�limit�e par deux-points (� : �) des chiffres autoris�s pour la connexion SSL.
212
Exemple : DES-CBC3-SHA:IDEA-CBC-MD5</p>
215
<dt><strong><a name="item_client__3d_yes__7c_no"><strong>client</strong> = yes | no</a></strong><br />
218
Mode client (Le service distant utilise SSL)
221
<p>Par d�faut : no (mode server)</p>
224
<dt><strong><a name="item_crlpath__3d_r_e9pertoire"><strong>CRLpath</strong> = r�pertoire</a></strong><br />
227
R�pertoire des listes de r�vocation de certificats (CRL)
230
<p>C'est le r�pertoire dans lequel <strong>stunnel</strong> recherche les CRL avec
231
l'option <em>verify</em>. Les CRL doivent �tre d�nomm�s selon la
232
forme XXXXXXXX.0 o� XXXXXXXX est la valeur de hachage de la CRL.</p>
235
<p>Le cas �ch�ant, le r�pertoire <em>CRLpath</em> est relatif au r�pertoire <em>chroot</em>.</p>
238
<dt><strong><a name="item_crlfile__3d_fichier"><strong>CRLfile</strong> = fichier</a></strong><br />
241
Fichier de listes de r�vocation de certificats (CRL)
244
<p>Ce fichier, utilis� avec <em>verify</em>, contient plusieurs CRL.</p>
247
<dt><strong><a name="item_debug__3d__5bfacilit_e9_2e_5dniveau"><strong>debug</strong> = [facilit�.]niveau</a></strong><br />
250
niveau de d�verminage
253
<p>Le niveau est un nom ou un num�ro conforme � ceux de syslog :
159
254
emerg (0), alert (1), crit (2), err (3), warning (4), notice (5),
160
info (6), ou debug (7).
161
Toutes les traces de niveau inf�rieur ou �gal num�riquement seront
163
<STRONG>debug = debug</STRONG> ou <STRONG>debug = 7</STRONG> donne le niveau de d�tail maximal.
164
La valeur par d�faut est notice (5).</P>
165
<P>La facilit� syslog 'daemon' sera utilis�e par d�faut (les facilit�s
166
ne sont pas support�es par Win32).</P>
167
<P>La casse des caract�res est sans signification.</P>
169
<DT><STRONG><A NAME="item_chemin"><STRONG>EGD</STRONG> = chemin (Unix seulement)</A></STRONG><BR>
171
Chemin vers la socket du daemon de rassemblement d'entropie (EGD,
172
Entropy Gathering Daemon socket).
173
<P>Socket d'EGD � utiliser pour alimenter le g�n�rateur d'al�atoires d'OpenSSL
174
(disponible seulement � partir d'OpenSSL 0.9.5a).</P>
176
<DT><STRONG><A NAME="item_no"><STRONG>foreground</STRONG> = yes | no (Unix seulement)</A></STRONG><BR>
255
info (6) ou debug (7). Toutes les traces du niveau indiqu� et des niveaux
256
num�riquement inf�rieurs seront affich�es. <strong>debug = debug</strong> ou
257
<strong>debug = 7</strong> donneront le maximum d'informations. La valeur par d�faut
261
<p>La facilit� syslog � daemon � est utilis�e, sauf si un autre nom est sp�cifi�
262
(Win32 ne permet pas l'usage des facilit�s.)</p>
265
<p>La casse est ignor�e, aussi bien pour la facilit� que pour le niveau.</p>
268
<dt><strong><a name="item_chemin"><strong>EGD</strong> = chemin (Unix seulement)</a></strong><br />
271
Emplacement du socket du daemon de recueil d'entropie (EGD - Entropy Gathering Daemon)
274
<p>Socket EGD � utiliser pour alimenter le g�n�rateur d'al�atoires de OpenSSL (disponible
275
seulement si la compilation a �t� effectu�e avec OpenSSL 0.9.5a ou sup�rieur).</p>
278
<dt><strong><a name="item_no"><strong>foreground</strong> = yes | no (Unix seulement)</a></strong><br />
179
<P>Maintien en avant-plan (sans fork) et trace sur stderr au lieu
180
de syslog (sauf si <STRONG>output</STRONG> est sp�cifi�).</P>
181
<P>d�faut : arri�re-plan en mode daemon.</P>
183
<DT><STRONG><A NAME="item_key_%3D_fichier"><STRONG>key</STRONG> = fichier</A></STRONG><BR>
185
Clef priv�e pour le certificat sp�cifi� � <EM>cert</EM>
186
<P>La clef priv�e est n�cessaire pour l'authentification du propri�taire
188
Puisque ce fichier doit rester secret, il ne doit �tre lisible que par
190
Sous Unix on peut utiliser :</P>
192
chmod 600 fichier</PRE>
193
<P>d�faut : valeur de <EM>cert</EM></P>
195
<DT><STRONG><A NAME="item_options_%3D_options_SSL"><STRONG>options</STRONG> = options_SSL</A></STRONG><BR>
284
<p>Reste en avant-plan (sans fork) et dirige la trace sur stderr
285
au lieu de syslog (sauf si <strong>output</strong> est sp�cifi�).</p>
288
<p>Par d�fault : arri�re-plan en mode daemon.</p>
291
<dt><strong><a name="item_key__3d_fichier"><strong>key</strong> = fichier</a></strong><br />
294
Fichier de clef priv�e pour le certificat sp�cifi� par <em>cert</em>
297
<p>La clef priv�e est n�cessaire pour authentifier le titulaire du
299
Puisque ce fichier doit rester secret, il ne doit �tre lisible que
300
par son propri�taire. Sur les syst�mes Unix, on peut utiliser la
301
commande suivante :</p>
305
chmod 600 fichier</pre>
308
<p>Par d�fault : Valeur de <em>cert</em></p>
311
<dt><strong><a name="item_options__3d_options_ssl"><strong>options</strong> = Options_SSL</a></strong><br />
197
314
Options de la biblioth�que OpenSSL
198
<P>Ce param�tre est le nome de l'option OpenSSL ainsi que d�crite
199
dans le manuel <EM>SSL_CTX_set_options(3ssl)</EM>, mais sans le
200
pr�fixe <EM>SSL_OP_</EM>.
201
Plusieurs <EM>options</EM> peuvent �tre utilis�es.</P>
202
<P>Par exemple, la compatibilit� avec l'implantation d�fectueuse de SSL
203
dans Eudora peut �tre assur�e par :</P>
205
options = DONT_INSERT_EMPTY_FRAGMENTS</PRE>
207
<DT><STRONG><A NAME="item_output_%3D_fichier"><STRONG>output</STRONG> = fichier</A></STRONG><BR>
209
Sp�cification du fichier de messages au lieu de syslog.
211
<DT><STRONG><A NAME="item_fichier"><STRONG>pid</STRONG> = fichier (Unix seulement)</A></STRONG><BR>
213
Emplacement du fichier pid (contenant le num�ro de processus).
214
<P>Si l'argument est vide, aucun fichier pid ne sera cr��.</P>
216
<DT><STRONG><A NAME="item_RNDbytes_%3D_octets"><STRONG>RNDbytes</STRONG> = octets</A></STRONG><BR>
218
Nombre d'octets � lire depuis les fichiers de sel al�atoire.
219
<P>Avec SSL de version inf�rieure � 0.9.5a, d�termine aussi le nombre
220
d'octets suffisants pour saler le PRNG.
221
Les versions plus r�centes d'OpenSSM ont une fonction int�gr�e qui
222
d�termine lorsque le niveau d'al�atoire est suffisant.</P>
224
<DT><STRONG><A NAME="item_RNDfile_%3D_fichier"><STRONG>RNDfile</STRONG> = fichier</A></STRONG><BR>
226
Chemin vers le fichier de donn�es de sel.
227
<P>La biblioth�que SSL utilisera en priorit� les donn�es de ce fichier
228
pour alimenter le g�n�rateur d'al�atoires.</P>
230
<DT><STRONG><A NAME="item_RNDoverwrite_%3D_yes_%7C_no"><STRONG>RNDoverwrite</STRONG> = yes | no</A></STRONG><BR>
232
�crase les fichiers de sel al�atoire avec de nouvelles valeurs.
235
<DT><STRONG><A NAME="item_service_%3D_service"><STRONG>service</STRONG> = service</A></STRONG><BR>
237
Sp�cification du nom de service.
238
<P>Sur Unix : nom de service de mode <EM>inetd</EM> pour TCP Wrapper ;</P>
239
<P>Sur NT/2000/XP : nom de service NT dans le panneau de configuration.</P>
240
<P>d�faut : stunnel</P>
242
<DT><STRONG><A NAME="item_session_%3D_timeout"><STRONG>session</STRONG> = timeout</A></STRONG><BR>
317
<p>Le param�tre est l'option OpenSSL d�crite dans la page de man
318
<em>SSL_CTX_set_options(3ssl)</em>, d�barass�e du pr�fixe <em>SSL_OP_</em>.
319
Plusieurs <em>options</em> peuvent �tre sp�cifi�es.</p>
322
<p>Par exemple, pour la compatibilit� avec l'implantation SSL d�faillante
323
d'Eudora, on peut utiliser :</p>
327
options = DONT_INSERT_EMPTY_FRAGMENTS</pre>
330
<dt><strong><a name="item_output__3d_fichier"><strong>output</strong> = fichier</a></strong><br />
333
Ajoute la trace � la fin d'un fichier au lieu d'utiliser syslog.
336
<p>/dev/stdout peut �tre utilis� pour afficher les traces sur la sortie standard
337
(par exemple pour les traiter avec les outils splogger).</p>
340
<dt><strong><a name="item_fichier"><strong>pid</strong> = fichier (Unix seulement)</a></strong><br />
343
Emplacement du fichier pid
346
<p>Si l'argument est vide, aucun fichier ne sera cr��.</p>
349
<p>Le cas �ch�ant, le chemin <em>pid</em> est relatif au r�pertoire <em>chroot</em>.</p>
352
<dt><strong><a name="item_rndbytes__3d_nombre"><strong>RNDbytes</strong> = nombre</a></strong><br />
355
Nombre d'octets � lire depuis les fichiers de � sel � al�atoire
358
<p>Avec les SSL de version inf�rieure � 0.9.5a, d�termine aussi le nombre
359
d'octets consid�r�s comme suffisants pour � saler � le PRNG. Les versions plus
360
r�centes d'OpenSSL ont une fonction int�gr�e qui d�termine lorsque l'al�atoire
364
<dt><strong><a name="item_rndfile__3d_fichier"><strong>RNDfile</strong> = fichier</a></strong><br />
367
chemin du fichier de donn�es de � sel � al�atoire
370
<p>La biblioth�que SSL utilise prioritairement les donn�es de ce fichier pour
371
� saler � le g�n�rateur d'al�atoire.</p>
374
<dt><strong><a name="item_rndoverwrite__3d_yes__7c_no"><strong>RNDoverwrite</strong> = yes | no</a></strong><br />
377
Recouvre les fichiers de � sel � avec de nouvelles donn�es al�atoires.
380
<p>Par d�faut : yes</p>
383
<dt><strong><a name="item_service__3d_nom"><strong>service</strong> = nom</a></strong><br />
386
D�finit le nom de service � utiliser
389
<p><strong>Sous Unix :</strong> nom de service du mode <em>inetd</em> pour la biblioth�que TCP Wrapper.</p>
392
<p><strong>Sous NT/2000/XP :</strong> nom de service NT dans le gestionnaire de t�ches.</p>
395
<p>Par d�faut : stunnel</p>
398
<dt><strong><a name="item_session__3d_timeout"><strong>session</strong> = timeout</a></strong><br />
244
401
Timeout du cache de session
246
<DT><STRONG><A NAME="item_groupe"><STRONG>setgid</STRONG> = groupe (Unix seulement)</A></STRONG><BR>
248
En mode daemon, <CODE>setgid()</CODE> vers le groupe sp�cifi� et d�sactivation de
249
tous les autres groupes de rattachement.
251
<DT><STRONG><A NAME="item_utilisateur"><STRONG>setuid</STRONG> = utilisateur (Unix seulement)</A></STRONG><BR>
253
En mode daemon, <CODE>setuid()</CODE> vers l'utilisateur sp�cifi�.
255
<DT><STRONG><A NAME="item_socket_%3D_a%7Cl%7Cr%3Aoption%3Dvaleur%5B%3Avaleur"><STRONG>socket</STRONG> = a|l|r:option=valeur[:valeur]</A></STRONG><BR>
257
Positionne une option sur les sockets accept/local/remote
258
<P>Les valeurs de l'option linger sont l_onof:l_linger.
259
Les valeurs de l'option time sont tv_sec:tv_usec.</P>
404
<dt><strong><a name="item_nom"><strong>setgid</strong> = nom (Unix seulement)</a></strong><br />
407
Nom de groupe utilis� en mode daemon (les �ventuels autres noms de groupe attribu�s sont supprim�s)
410
<dt><strong><strong>setuid</strong> = nom (Unix seulement)</strong><br />
413
Nom d'utilisateur utilis� en mode daemon
416
<dt><strong><a name="item_socket__3d_a_7cl_7cr_3aoption_3dvaleur_5b_3avaleur"><strong>socket</strong> = a|l|r:option=valeur[:valeur]</a></strong><br />
419
Configure une option de socket accept (a), locale (l) ou distante (r)
422
<p>Les valeurs de l'option linger sont : l_onof:l_linger.
423
Les valeurs de l'option time sont : tv_sec:tv_usec.</p>
426
<p>Exemples :</p>
262
430
socket = l:SO_LINGER=1:60
263
positionne un timeout d'une minute pour la cl�ture d'un socket local.
431
d�finit un d�lai d'une minute pour la cl�ture des sockets locaux
264
432
socket = r:TCP_NODELAY=1
265
d�sactive l'algorithme Nagle pour les sockets distants.
433
d�sactive l'algorithme Nagle pour les sockets distants
266
434
socket = r:SO_OOBINLINE=1
267
place les donn�es out-of-band directement dans le flux de r�ception
268
pour les sockets distants.
435
Place directement les donn�es hors-bande dans le flux de r�ception
269
437
socket = a:SO_REUSEADDR=0
270
d�sactive la r�utilisation d'adresses (activ�e par d�faut).
438
d�sactive la r�utilisation d'adresses (activ�e par d�faut)
271
439
socket = a:SO_BINDTODEVICE=lo
272
n'accepte les connexions que sur l'interface de rebouclage.</PRE>
274
<DT><STRONG><A NAME="item_verify_%3D_niveau"><STRONG>verify</STRONG> = niveau</A></STRONG><BR>
276
V�rification du certificat de l'interlocuteur
278
niveau 1 - v�rification du certificat s'il est pr�sent ;
279
niveau 2 - v�rification du certificat ;
280
niveau 3 - contr�le de l'interlocuteur avec le certificat install� en local ;
281
d�faut - pas de v�rification.</PRE>
284
<H2><A NAME="options de niveau service">OPTIONS DE NIVEAU SERVICE</A></H2>
285
<P>Chaque section de configuration d�bute par le nom du service entre crochets.
286
Celui-ci est utiliser pour le contr�le d'acc�s libwrap (TCP Wrappers) et
287
permet de distinguer les services <STRONG>stunnel</STRONG> dans les fichiers de trace.</P>
288
<P>Si l'on veut utiliser <STRONG>stunnel</STRONG> en monde <EM>inetd</EM> (dans lequel un socket
289
r�seau est fourni par un serveur comme <EM>inetd</EM>, <EM>xinetd</EM>,
290
ou <EM>tcpserver</EM>), il faut lire la section <EM>MODE INETD</EM> ci-apr�s.</P>
292
<DT><STRONG><A NAME="item_accept_%3D_%5Bh�te%3A%5Dport"><STRONG>accept</STRONG> = [h�te:]port</A></STRONG><BR>
294
Accepte les connexions du h�te sp�cifi� sur le port sp�cifi�.
295
<P>Si aucun h�te n'est sp�cifi�, toutes les adresses IP par d�faut pour l'h�te local.</P>
297
<DT><STRONG><A NAME="item_connect_%3D_%5Bh�te%3A%5Dport"><STRONG>connect</STRONG> = [h�te:]port</A></STRONG><BR>
299
Connextion � l'adresse h�te:port.
300
<P>Si aucun h�te n'est sp�cifi�, connexion sur localhost.</P>
302
<DT><STRONG><A NAME="item_delay_%3D_yes_%7C_no"><STRONG>delay</STRONG> = yes | no</A></STRONG><BR>
304
D�lai de recherche DNS pour l'option 'connect'.
306
<DT><STRONG><STRONG>exec</STRONG> = chemin (Unix seulement)</STRONG><BR>
308
Ex�cution d'un programme local de type inetd.
310
<DT><STRONG><A NAME="item_execargs_%3D_%240_%241_%242_%2E%2E%2E_%28Unix_seul"><STRONG>execargs</STRONG> = $0 $1 $2 ... (Unix seulement)</A></STRONG><BR>
312
Arguments pour <EM>exec</EM>, y compris le nom du programme ($0)
313
<P>Les guillemets ne sont pas support�s actuellement.
314
Les arguments sont s�par�s par un nombre quelconque d'espaces.</P>
316
<DT><STRONG><A NAME="item_ident_%3D_utilisateur"><STRONG>ident</STRONG> = utilisateur</A></STRONG><BR>
318
Utilisation du contr�le de nom d'utilisateur IDENT (RFC 1413).
320
<DT><STRONG><A NAME="item_local_%3D_h�te"><STRONG>local</STRONG> = h�te</A></STRONG><BR>
322
Adresse IP de l'interface de sortie pour les connexions distantes.
323
Cette option permet de connecter une adresse IP statique.
325
<DT><STRONG><A NAME="item_protocol_%3D_protocole"><STRONG>protocol</STRONG> = protocole</A></STRONG><BR>
327
N�gociation SSL avec le protocole indiqu� (actuellement : smtp,
330
<DT><STRONG><STRONG>pty</STRONG> = yes | no (Unix seulement)</STRONG><BR>
332
Allocation d'un pseudo-terminal pour l'option 'exec'.
334
<DT><STRONG><A NAME="item_TIMEOUTbusy_%3D_secondes"><STRONG>TIMEOUTbusy</STRONG> = secondes</A></STRONG><BR>
336
Dur�e d'attente des donn�es.
338
<DT><STRONG><A NAME="item_TIMEOUTclose_%3D_secondes"><STRONG>TIMEOUTclose</STRONG> = secondes</A></STRONG><BR>
340
Dur�e d'attente pour close_notify (positionn� � 0 pour MSIE bugg�).
342
<DT><STRONG><A NAME="item_TIMEOUTidle_%3D_secondes"><STRONG>TIMEOUTidle</STRONG> = secondes</A></STRONG><BR>
344
Dur�e de maintien d'une connexion inactive.
346
<DT><STRONG><STRONG>transparent</STRONG> = yes | no (Unix seulement)</STRONG><BR>
348
Mode mandataire transparent.
349
<P>R��criture de l'adresse afin que la connexion apparaisse comme provenant
350
de la machine client SSL plut�t que de celle ex�cutant <STRONG>stunnel</STRONG>.
351
Cette option n'est disponible en mode local (option <EM>exec</EM>) qu'avec
352
l'option LD_PRELOAD de la biblioth�que partag�e env.so ou en mode distant
353
(option <EM>connect</EM>) sur un noyau Linux 2.2 compil� avec l'option <EM>transparent
354
proxy</EM> puis seulement en mode serveur.
355
Cette option est incompatible avec le mode mandataire (<EM>connect</EM>) sauf si
356
la route par d�faut vers la machine cible passe par l'h�te <STRONG>stunnel</STRONG>, qui ne
357
peut �tre localhost.</P>
361
<H1><A NAME="valeur de retour">VALEUR DE RETOUR</A></H1>
362
<P><STRONG>stunnel</STRONG> renvoie z�ro en cas de succ�s, une autre valeur en cas d'erreur.</P>
365
<H1><A NAME="exemples">EXEMPLES</A></H1>
366
<P>Pour encapsuler un service local <EM>imapd</EM> dans SSL :</P>
440
limite l'acceptation des connexions sur la seule interface de bouclage</pre>
443
<dt><strong><strong>taskbar</strong> = yes | no (WIN32 seulement)</strong><br />
446
active l'ic�ne de la barre de t�ches
449
<p>Par d�faut : yes</p>
452
<dt><strong><a name="item_verify__3d_niveau"><strong>verify</strong> = niveau</a></strong><br />
455
V�rifie le certificat du correspondant
459
niveau 1 - v�rifie le certificat s'il est pr�sent
460
niveau 2 - v�rifie le certificat
461
niveau 3 - contr�le le correspondant avec le certificat local</pre>
464
<p>Par d�faut - pas de v�rification</p>
469
<h2><a name="options_de_service">OPTIONS DE SERVICE</a></h2>
470
<p>Chaque section de configuration commence par le nom du service entre crochets.
471
Celui-ci est utilis� par le contr�le d'acc�s de libwrap (TCP Wrappers) et sert
472
� distinguer les services <strong>stunnel</strong> dans les fichiers de traces.</p>
473
<p>Si l'on souhaite utiliser <strong>stunnel</strong> en mode <em>inetd</em> (lorsqu'un socket lui est
474
fourni par un serveur comme <em>inetd</em>, <em>xinetd</em> ou <em>tcpserver</em>), il faut se
475
reporter � la section <em>MODE INETD</em> plus bas.</p>
477
<dt><strong><a name="item_accept__3d__5bh_f4te_3a_5dport"><strong>accept</strong> = [h�te:]port</a></strong><br />
480
Accepte des connexions sur le port sp�cifi�
483
<p>Si l'h�te n'est pas indiqu�, le port est ouvert pour toutes les adresses IP de
484
la machine locale.</p>
487
<dt><strong><a name="item_connect__3d__5bh_f4te_3a_5dport"><strong>connect</strong> = [h�te:]port</a></strong><br />
490
Se connecte au port distant indiqu�
493
<p>Par d�faut, l'h�te est localhost.</p>
496
<dt><strong><a name="item_delay__3d_yes__7c_no"><strong>delay</strong> = yes | no</a></strong><br />
499
Retarde la recherche DNS pour l'option � connect �
502
<dt><strong><a name="item_cutable"><strong>exec</strong> = chemin_ex�cutable (Unix seulement)</a></strong><br />
505
Ex�cute un programme local de type inetd
508
<p>Le cas �ch�ant, le chemin <em>exec</em> est relatif au r�pertoire <em>chroot</em>.</p>
511
<dt><strong><a name="item_execargs__3d__240__241__242__2e_2e_2e__28unix_seul"><strong>execargs</strong> = $0 $1 $2 ... (Unix seulement)</a></strong><br />
514
Arguments pour <em>exec</em>, y compris le nom du programme ($0)
517
<p>Les quotes ne peuvent actuellement pas �tre utilis�es.
518
Les arguments sont s�par�s par un nombre quelconque d'espaces.</p>
521
<dt><strong><a name="item_ident__3d_nom"><strong>ident</strong> = nom</a></strong><br />
524
Applique le contr�le d'identit� d'utilisateur IDENT (RFC 1413)
527
<dt><strong><a name="item_local__3d_h_f4te"><strong>local</strong> = h�te</a></strong><br />
530
Adresse IP de l'interface de sortie utilis�e pour les connexions distantes.
531
Cette option permet de relier une adresse statique locale.
534
<dt><strong><a name="item_protocol__3d_protocole"><strong>protocol</strong> = protocole</a></strong><br />
537
N�gocie avec SSL selon le protocole indiqu�
540
<p>Actuellement g�r�s : cifs, nntp, pop3, smtp</p>
543
<dt><strong><strong>pty</strong> = yes | no (Unix seulement)</strong><br />
546
Alloue un pseudo-terminal pour l'option � exec �
549
<dt><strong><a name="item_timeoutbusy__3d_secondes"><strong>TIMEOUTbusy</strong> = secondes</a></strong><br />
552
Dur�e d'attente de donn�es
555
<dt><strong><a name="item_timeoutclose__3d_secondes"><strong>TIMEOUTclose</strong> = secondes</a></strong><br />
558
Dur�e d'attente du close_notify (mis � 0 pour MSIE qui est bogu�)
561
<dt><strong><a name="item_timeoutidle__3d_secondes"><strong>TIMEOUTidle</strong> = secondes</a></strong><br />
564
Dur�e d'attente sur une connexion inactive
567
<dt><strong><strong>transparent</strong> = yes | no (Unix seulement)</strong><br />
570
Mode mandataire transparent
573
<p>R�-�crit les adresses pour qu'elles apparaissent provenir de la
574
machine client SSL plut�t que de celle qui ex�cute <strong>stunnel</strong>.
575
Cette option n'est disponible en mode local (option <em>exec</em>) qu'avec
576
la biblioth�que partag�e LD_PRELOADing env.so shared library et en mode
577
distant (option <em>connect</em>) sur les noyaux Linux 2.2 compil�s avec
578
l'option <em>transparent proxy</em> et seulement en mode serveur. Cette
579
option ne se combine pas au mode mandataire (<em>connect</em>) sauf si la
580
route par d�faut du client vers la cible passe par l'h�te qui fait
581
tourner <strong>stunnel</strong>, qui ne peut �tre localhost.</p>
587
<h1><a name="valeur_de_retour">VALEUR DE RETOUR</a></h1>
588
<p><strong>stunnel</strong> renvoie z�ro en cas de succ�s, une autre valeur en cas d'erreur.</p>
592
<h1><a name="exemples">EXEMPLES</a></h1>
593
<p>Pour encapsuler votre service <em>imapd</em> local avec SSL :</p>
370
597
exec = /usr/sbin/imapd
371
execargs = imapd</PRE>
372
<P>Pour tunnelliser le daemon <EM>pppd</EM> sur le port 2020 :</P>
598
execargs = imapd</pre>
599
<p>Pour tunneliser un daemon <em>pppd</em> sur le port 2020 :</p>
376
603
exec = /usr/sbin/pppd
377
604
execargs = pppd local
379
<P>Pour que <STRONG>stunnel</STRONG> lance le processus imapd en mode <EM>inetd</EM>, le fichier
380
<EM>stunnel.conf</EM> sera ainsi (il ne doit y avoir aucune section <EM>[service]</EM>):</P>
606
<p>Configuration de <em>stunnel.conf</em> pour utiliser <strong>stunnel</strong> en mode <em>inetd</em>
607
qui lance imapd � son tour (il ne doit pas y avoir de section <em>[service_name]</em>) :</p>
382
609
exec = /usr/sbin/imapd
383
execargs = imapd</PRE>
386
<H1><A NAME="fichiers">FICHIERS</A></H1>
388
<DT><STRONG><A NAME="item_stunnel%2Econf"><EM>stunnel.conf</EM></A></STRONG><BR>
390
Fichier de configuration de <STRONG>stunnel</STRONG>.
392
<DT><STRONG><A NAME="item_stunnel%2Epem"><EM>stunnel.pem</EM></A></STRONG><BR>
394
Certificat et clef priv�e de <STRONG>stunnel</STRONG>.
398
<H1><A NAME="bugs">BUGS</A></H1>
399
<P>L'option <EM>execargs</EM> ne supporte pas les guillemets.</P>
402
<H1><A NAME="restrictions">RESTRICTIONS</A></H1>
403
<P><STRONG>stunnel</STRONG> ne peut �tre utilis� pour le daemon FTP en raison de la nature
404
de ce protocole qui ouvre de multiples ports pour les transferts de donn�es.
405
Il existe cependant des versions de FTP et de telnet qui permettent l'utilisation
409
<H1><A NAME="notes">NOTES</A></H1>
411
<H2><A NAME="mode inetd">MODE INETD</A></H2>
412
<P>L'utilisation la plus courante de <STRONG>stunnel</STRONG> est l'�coute sur un
413
port r�seau pour �tablir des communications, soit sur un nouveau port
414
avec l'option connect, soit avec un programme avec l'option <EM>exec</EM>.
415
Dans certains cas, il est souhaitable qu'un autre programme accepte
416
les connexions entrantes puis passe la main � <STRONG>stunnel</STRONG> (par exemple
417
avec <EM>inetd</EM>, <EM>xinetd</EM>, ou <EM>tcpserver</EM>).</P>
418
<P>Imaginons la ligne suivante dans <EM>inetd.conf</EM> :</P>
420
imaps stream tcp nowait root /usr/sbin/stunnel stunnel /etc/stunnel/imaps.conf</PRE>
421
<P>Dans ce cas, le programme de style <EM>inetd</EM> est en charge
422
de la connexion du socket r�seau (<EM>imaps</EM> ci-dessus) et
423
du passage � <STRONG>stunnel</STRONG> une fois la connexion re�ue.
424
Ainsi, <STRONG>stunnel</STRONG> ne doit pas avoir d'option <EM>accept</EM>/
425
Toutes les <EM>options de niveau service</EM> doivent �tre dans la
426
section des options globales et il ne doit pas y avoir de section
427
<EM>[service]</EM>. Se reporter � la section <EM>EXEMPLES</EM>.</P>
429
<H2><A NAME="certificats">CERTIFICATS</A></H2>
430
<P>Chasue daemon SSL-is� doit pr�senter un certificat X.509 valide � son
431
interlocuteur. Il n�cessite aussi une clef priv�e pour d�chiffrer les
433
La m�thode la plus simple d'obtention d'un certificat et d'une clef est
434
de les engendrer � l'aide du paquetage lible <EM>OpenSSL</EM>.
435
Plus d'informations sur la g�n�ration de certificats est disponible sur
436
les pages indiqu�es plus bas.</P>
437
<P>Deux points importants lors de la g�n�ration de paires certificat-clef
438
pour <STRONG>stunnel</STRONG> : la clef priv�e ne peut �tre chiffr�e car le serveur
439
n'a aucun moyen d'acc�der au mot de passe de l'utilisateur ; l'option
440
<EM>-nodes</EM> de la commande <STRONG>req</STRONG> du kit <EM>OpenSSL</EM> permet de produire
441
une clef non chiffr�e.</P>
442
<P>L'ordre du contenu du fichier <EM>.pem</EM> est important aussi : il doit
443
contenir la clef priv�e non chiffr�e en premier, puis un certificat
444
sign� (pas de requ�te de certificat).
445
Il doit y avoir aussi des lignes vides apr�s le certificat et la clef
447
L'information en texte simple ajout�e sur le certificat engendr� doit �tre
449
Ainsi, le fichier doit se pr�senter comme suit :</P>
610
execargs = imapd</pre>
614
<h1><a name="fichiers">FICHIERS</a></h1>
616
<dt><strong><a name="item_stunnel_2econf"><em>stunnel.conf</em></a></strong><br />
619
Fichier de configuration de <strong>stunnel</strong>
622
<dt><strong><a name="item_stunnel_2epem"><em>stunnel.pem</em></a></strong><br />
625
Certificat et clef priv�e de <strong>stunnel</strong>
631
<h1><a name="bogues">BOGUES</a></h1>
632
<p>L'option <em>execargs</em> n'admet pas les quotes.</p>
636
<h1><a name="restrictions">RESTRICTIONS</a></h1>
637
<p><strong>stunnel</strong> ne peut �tre utilis� pour le daemon FTP en raison de la nature
638
du protocole FTP qui utilise des ports multiples pour les transferts de donn�es.
639
Il existe cependant des versions SSL de FTP et de telnet.</p>
643
<h1><a name="notes">NOTES</a></h1>
646
<h2><a name="mode_inetd">MODE INETD</a></h2>
647
<p>L'utilisation la plus commune de <strong>stunnel</strong> consiste � �couter un port
648
r�seau et � �tablir une communication, soit avec un nouveau port
649
avec l'option <em>connect</em>, soit avec un programme avec l'option <em>exec</em>.
650
On peut parfois cependant souhaiter qu'un autre programme re�oive les
651
connexions entrantes et lance <strong>stunnel</strong>, par exemple avec <em>inetd</em>,
652
<em>xinetd</em> ou <em>tcpserver</em>.</p>
653
<p>Si, par exemple, la ligne suivante se trouve dans <em>inetd.conf</em> :</p>
655
imaps stream tcp nowait root /usr/sbin/stunnel stunnel /etc/stunnel/imaps.conf</pre>
656
<p>Dans ces cas, c'est le programme du genre <em>inetd</em>-style qui est
657
responsable de l'�tablissement de la connexion (<em>imaps</em> ci-dessus) et de passer
658
celle-ci � <strong>stunnel</strong>.
659
Ainsi, <strong>stunnel</strong> ne doit alors avoir aucune option <em>accept</em>.
660
Toutes les <em>options de niveau service</em> doivent �tre plac�es dans
661
la section des options globales et aucune section <em>[service_name]</em> ne doit
662
�tre pr�sente. Voir la section <em>EXEMPLES</em> pour des exemples de configurations.</p>
665
<h2><a name="certificats">CERTIFICATS</a></h2>
666
<p>Chaque daemon � propri�t�s SSL doit pr�senter un certificat X.509
667
valide � son interlocuteur. Il a aussi besoin d'une clef priv� pour
668
d�chiffrer les donn�es entrantes. La m�thode la plus simple pour
669
obtenir un certificat et une clef est d'engendrer celles-ci avec
670
le paquetage libre <em>OpenSSL</em>. Plus d'informations sur la g�n�ration de
671
certificats se trouvent dans les pages indiqu�es plus bas.</p>
672
<p>Deux choses importantes lors de la g�n�ration de paires certificat-clef
673
pour <strong>stunnel</strong> :</p>
676
la clef priv�e ne peut �tre chiffr�e puisque le serveur n'a aucun moyen
677
d'obtenir le mot de passe de l'utilisateur ; pour produire une clef non chiffr�e,
678
ajouter l'option <em>-nodes</em> � la commande <strong>req</strong> de <em>OpenSSL</em> ;
681
l'ordre du contenu du fichier <em>.pem</em> est significatif : il doit contenir d'abord
682
une clef priv�e non chiffr�e, puis un certificat sign� (et non une demande de certificat).
683
Il doit aussi y avoir des lignes vides apr�s le certificat et apr�s la clef priv�e.
684
L'information textuelle ajout�e au d�but d'un certificat doit �tre supprim�e afin que
685
le fichier ait l'allure suivante :
451
687
-----BEGIN RSA PRIVATE KEY-----
453
689
-----END RSA PRIVATE KEY-----