<div dir="ltr">Yep, that's exactly what I'm seeking for help here.<div><br></div><div>If we can abstract the 2-way bit for a second, I'd call this a "certificate transcription" TLS tunnel.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 9, 2017 at 5:19 PM, Vincent Deschenes <span dir="ltr"><<a href="mailto:vdeschenes@stelvio.com" target="_blank">vdeschenes@stelvio.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-AU" link="blue" vlink="purple">
<div class="m_-4996505759122805581WordSection1">
<p class="MsoNormal"><span lang="EN-CA">Ho, <u></u>
<u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">But that does not account for the A ->[TLS] ->B part.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">I believe that my sample will listen for unencrypted connection only.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA"><u></u> <u></u></span></p>
<div>
<div style="border:none;border-top:solid #e1e1e1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> stunnel-users [mailto:<a href="mailto:stunnel-users-bounces@stunnel.org" target="_blank">stunnel-users-bounces@<wbr>stunnel.org</a>]
<b>On Behalf Of </b>Vincent Deschenes<br>
<b>Sent:</b> Thursday, 9 November 2017 3:16 PM<br>
<b>To:</b> Igor Gatis <<a href="mailto:igorgatis@gmail.com" target="_blank">igorgatis@gmail.com</a>>; <a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>
<b>Subject:</b> Re: [stunnel-users] TLS "translation" & 2-way auth<u></u><u></u></span></p>
</div>
</div><div><div class="h5">
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal"><span lang="EN-CA">You need to have a section in your config file which listen for requests but also have the “client = yes” option with a cert and key like this:<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">[http_a_to_c]<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">client = yes<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">accept = port_number_to_listen_on_<wbr>server_b<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">connect = server_c_address:443<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">cert = certificate.crt<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">key = private.key<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">cert and key are the certificate and private key server B uses to identify itself on server C.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">You could also add more options to specify a trustore to specify which cert coming from server C server B will trust, otherwise server B will simply allow the connection.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA">Good Luck<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA"><u></u> <u></u></span></p>
<p class="MsoNormal"><span lang="EN-CA"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> stunnel-users [<a href="mailto:stunnel-users-bounces@stunnel.org" target="_blank">mailto:stunnel-users-bounces@<wbr>stunnel.org</a>]
<b>On Behalf Of </b>Igor Gatis<br>
<b>Sent:</b> Thursday, 9 November 2017 1:14 PM<br>
<b>To:</b> <a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>
<b>Subject:</b> [stunnel-users] TLS "translation" & 2-way auth<u></u><u></u></span></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">Consider scenario below:<u></u><u></u></p>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Server A   ==TLS==> Server B  ==TLS+2WayAuth==> Server C<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Server A needs to connect to Server C through Server B which runs Stunnel. Server C requires 2-way authentication. I have full control over Server A and Server B and Server C belongs to a third-party.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">What does Stunnel config should look like?<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
</div>
</div></div></div>
</div>

</blockquote></div><br></div>