A universal TLS gateway by DeleGate の和訳

訳者：　Hiroshi Suzuki<setter at i-red dot info>
翻訳日：2005/05/13

コメント：
翻訳の正確さは保証しません。
必ず、原文と共に、使用してください。

DeleGate による汎用 TLS ゲートウェイ

Yutaka Sato

May 3, 2005

単純化された設定

DeleGate/9.0.1 から、TLS (または SSL ) ゲートウェイとしての DeleGate の設定は、統一された単純なものになりました。 HTTP, FTP, SMTP, POP, IMAP などを含む任意のアプリケーションプロトコルのための、TLS ゲートウェイ動作は、単純に、以下のような、共通パラメータ STLS により、有効にできます：

STLS=fcl 古いバージョンで、DeleGate を TLS ゲートウェイとするための設定は、ちょっとだけ複雑でした。特に、以前のドキュメントに記されている FTP プロトコルは、このようでした。

// DeleGate/9.0.1 以前での FTP/FTPS ゲートウェイ
//
delegated-older -P990 SERVER=ftp FCL=sslway
delegated-older -P21  SERVER=ftp CMAP=sslway:FCL:ftp CMAP="sslway -st:FCL:ftp-data"

また、FTPS および、 FTP+AUTH-TLS クライアントそれぞれに対してサービスを提供するために、 2つの DeleGate サーバを起動する必要がありました。そして、後者の設定は少し複雑でした。

しかし、現在、これら DeleGate は、以下のように、単一の DeleGate サーバで実現可能になっています：

// DeleGate/9.0.1 以降での FTP/FTPS ゲートウェイ
//
delegated-newer -P21,990 SERVER=ftp STLS=fcl

単純化されたインストール

DeleGate/9.0.1 から、SSL ライブラリは、DeleGate プロセスに動的にリンクされ、内部で実行されるようになりました。コンパイル時の環境は不要となっています。 9.0.1以降の DeleGate には、ビルトイン匿名証明書が含まれ、証明書を準備せずに TLS ゲートウェイを簡単にセットアップすることを容易にする、デフォルトの証明書として使用できます。実行時、SSLの動的ライブラリが標準的な場所に無い場合、新たに導入された、 DYLIB パラメータで、その場所を指定できます。

注意：脆弱性のある古い SSL ライブラリは使わないでください。 OpenSSL 0.9.7d 以降を使うことを推奨します。動的リンク用の OpenSSL ライブラリを make することに問題があるユーザのために、 ftp://ftp.delegate.org/pub/DeleGate/bin/.に、 Linux (lib{ssl,crypto}.so.0.9.7), MacOSX (lib{ssl,crypto}.0.9.7.dylib)， Win32 ({ssleay,libeay}32.dll) のバイナリをアップロードしてあります。

以前のバージョンでは、実行可能な "sslway" を作る際、 SSLライブラリをともなってコンパイルされるプログラムの様々なコンパイル時環境に起因するいくつかの問題がありました。現在、TLS ゲートウェイとして動作させる DeleGate をコンパイルする際に問題は無くなっています。

改善されたパフォーマンス

DeleGate との TLS パフォーマンスは、DeleGate/9.0.1 でかなり改善されました。以前のバージョンと比較すると、約10倍軽くなっています。 SSL のコンテキストとセッションはキャッシュ/共有されるようになりました。

以前のバージョンにおいて、 "sslway" は、外部フィルタプログラムとして、全ての SSL 接続生成時に呼び出されます。呼び出し時全てにおいて、SSL コンテキストの初期化、証明書の検索、スクラッチからのセッションが生成されます。

例

これら全てのオプションは、STLS=fcl とともに使用可能です。

暗黙のSSLは自動的に検知されます。
明示的ネゴシエーション後の SSL (with STARTTLS)
SSL無し, SSLが任意の場合 (by STLS=-fcl option)

例 1. 素のプロトコルから、TLS クライアントへのゲートウェイの作り方:

delegated STLS=fcl -P443     SERVER=https  MOUNT="/* http://wwwServer/*"
delegated STLS=fcl -P21,990  SERVER=ftp    MOUNT="/* ftp://ftpServer/*"
delegated STLS=fcl -P110,995 SERVER=pop    MOUNT="* pop://popServer/*"
delegated STLS=fcl -P143,993 SERVER=imap   MOUNT="* imap://imapServer/*"
delegated STLS=fcl -P25      SERVER=smtp
delegated STLS=fcl -P992     SERVER=telnet://telnetServer
delegated STLS=fcl -Pmmm     SERVER=tcprelay://host:nnn

例 2. 素のプロトコルのクライアントから、TLS サーバへのゲートウェイの作り方:

delegated STLS=fsv -P80      SERVER=http   MOUNT="/* https://wwwServer/*"
delegated STLS=fsv -P21      SERVER=ftp    MOUNT="/* ftps://ftpServer/*"
delegated STLS=fsv -P110     SERVER=pop    MOUNT="* pop3s://popServer/*"
delegated STLS=fsv -P143     SERVER=imap   MOUNT="* imaps://imapServer/*"
delegated STLS=fsv -P25      SERVER=smtp  
delegated STLS=fsv -P23      SERVER=telnets://telnetServer
delegated STLS=fsv -Pnnn     SERVER=tcprelay://host:mmm

例 3. プロトコル変換をともなう、SSL ゲートウェイ

delegated STLS=fcl -P443 SERVER=https \
                             MOUNT="/mail/*  pop://popserver/*" \
                             MOUNT="/news/*  nntp://nntpserver/*" \
                             MOUNT="/file/*  ftp://ftpserver/*" \
                             MOUNT="/web/*   http://intra/*"

[RETURN]