A universal TLS gateway by DeleGate の和訳

訳者: Hiroshi Suzuki<setter at i-red dot info>
翻訳日:2005/05/13

コメント:
翻訳の正確さは保証しません。
必ず、原文と共に、使用してください。

BACK ( DGbeecon )


DeleGate による汎用 TLS ゲートウェイ

Yutaka Sato
May 3, 2005

単純化された設定

DeleGate/9.0.1 から、TLS (または SSL ) ゲートウェイとしての DeleGate の設定は、統一された単純なものになりました。 HTTP, FTP, SMTP, POP, IMAP などを含む任意のアプリケーションプロトコルのための、TLS ゲートウェイ動作は、 単純に、以下のような、共通パラメータ STLS により、有効にできます: 古いバージョンで、DeleGate を TLS ゲートウェイとするための設定は、ちょっとだけ複雑でした。 特に、 以前のドキュメント に記されている FTP プロトコルは、このようでした。 また、FTPS および、 FTP+AUTH-TLS クライアントそれぞれに対してサービスを提供するために、 2つの DeleGate サーバを起動する必要がありました。 そして、後者の設定は少し複雑でした。

しかし、現在、これら DeleGate は、以下のように、単一の DeleGate サーバで実現可能になっています:

単純化されたインストール

DeleGate/9.0.1 から、SSL ライブラリは、DeleGate プロセスに動的にリンクされ、内部で実行されるようになりました。 コンパイル時の環境は不要となっています。 9.0.1以降の DeleGate には、ビルトイン匿名証明書が含まれ、 証明書を準備せずに TLS ゲートウェイを簡単にセットアップすることを容易にする、デフォルトの証明書として使用できます。 実行時、SSLの動的ライブラリが標準的な場所に無い場合、新たに導入された、 DYLIB パラメータで、その場所を指定できます。

注意:脆弱性のある古い SSL ライブラリは使わないでください。 OpenSSL 0.9.7d 以降を使うことを推奨します。 動的リンク用の OpenSSL ライブラリを make することに問題があるユーザのために、 ftp://ftp.delegate.org/pub/DeleGate/bin/.に、 Linux (lib{ssl,crypto}.so.0.9.7), MacOSX (lib{ssl,crypto}.0.9.7.dylib), Win32 ({ssleay,libeay}32.dll) のバイナリをアップロードしてあります。

以前のバージョンでは、実行可能な "sslway" を作る際、 SSLライブラリをともなってコンパイルされるプログラムの様々なコンパイル時環境に起因するいくつかの問題がありました。 現在、TLS ゲートウェイとして動作させる DeleGate をコンパイルする際に問題は無くなっています。

改善されたパフォーマンス

DeleGate との TLS パフォーマンスは、DeleGate/9.0.1 でかなり改善されました。 以前のバージョンと比較すると、 約10倍軽くなっています。 SSL のコンテキストとセッションはキャッシュ/共有されるようになりました。

以前のバージョンにおいて、 "sslway" は、外部フィルタプログラムとして、全ての SSL 接続生成時に呼び出されます。 呼び出し時全てにおいて、SSL コンテキストの初期化、証明書の検索、スクラッチからのセッションが生成されます。

これら全てのオプションは、STLS=fcl とともに使用可能です。

例 1. 素のプロトコルから、TLS クライアントへのゲートウェイ の作り方:

例 2. 素のプロトコルのクライアントから、TLS サーバへのゲートウェイ の作り方: 例 3. プロトコル変換をともなう、SSL ゲートウェイ
[RETURN]