hallo,
ich versuche gerade FTP über TLS einzurichten.
hierzu bin ich wie folgt vorgegangen:
ZitatAlles anzeigen# zunächst ein SSL zertifikat erstellen mit dem 1-zeiligen Befehl:
openssl req -x509 -nodes -days 7300 -newkey rsa:2048 -keyout /etc/ssl/private/proftpd.key.pem -out /etc/ssl/private/proftpd.crt.pem
# anschließend die Leserechte richtig setzen mit den beiden Befehlen:
chmod 0600 /etc/ssl/private/proftpd.key.pem
chmod 0640 /etc/ssl/private/proftpd.crt.pem
# die Datei /etc/proftpd/tls.conf editieren mit den richtigen Settings.
--> ProFTPD mini-HOWTO - FTP and SSL/TLS
--> ProFTPD: HowTo: SFTP (TLS, verschlüsseltes FTP)
[...]
# in der Datei /etc/proftpd/proftpd.conf die (letzte) Zeile
"Include /etc/proftpd/tls.conf" aktivieren (Kommentar weg).
# proftp neu starten mit:
/etc/init.d/proftpd restart
nun kann man sich zwar mit TLS am FTP anmelden
aber die Datenübertragung klappt nicht...
im log steht:
Dec 31 16:19:08 mod_tls/2.4.2[17560]: using default OpenSSL verification locations (see $SSL_CERT_
Dec 31 16:19:08 mod_tls/2.4.2[17560]: TLS/TLS-C requested, starting TLS handshake
Dec 31 16:19:09 mod_tls/2.4.2[17560]: TLSv1/SSLv3 connection accepted, using cipher DHE-RSA-AES256
Dec 31 16:19:09 mod_tls/2.4.2[17560]: Protection set to Private
Dec 31 16:19:10 mod_tls/2.4.2[17560]: starting TLS negotiation on data connection
Dec 31 16:19:10 mod_tls/2.4.2[17560]: TLSv1/SSLv3 renegotiation accepted, using cipher DHE-RSA-AES
Dec 31 16:19:10 mod_tls/2.4.2[17560]: client did not reuse SSL session, rejecting data connection
Dec 31 16:19:10 mod_tls/2.4.2[17560]: unable to open data connection: TLS negotiation failed
ich weiß auch erhlich gesagt nicht genau wie die Datei /etc/proftpd/tls.conf richtig "eingestellt" werden muss,
derzeit sieht sie wie folgt aus:
#
# Proftpd sample configuration for FTPS connections.
#
# Note that FTPS impose some limitations in NAT traversing.
# See http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-TLS.html
# for more information.
#
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv3 TLSv1
#
TLSRSACertificateFile /etc/ssl/private/proftpd.crt.pem
TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key.pem
#
# CA the server trusts
#TLSCACertificateFile /etc/ssl/certs/ca.pem
# or avoid CA cert and be verbose
#TLSOptions NoCertRequest EnableDiags
#
# Per default drop connection if client tries to start a renegotiate
# This is a fix for CVE-2009-3555 but could break some clients.
#
#TLSOptions AllowClientRenegotiations
#
# Authenticate clients that want to use FTP over TLS?
#
TLSVerifyClient off
#
# Are clients required to use FTP over TLS when talking to this server?
#
TLSRequired off
#
# Allow SSL/TLS renegotiations when the client requests them, but
# do not force the renegotations. Some clients do not support
# SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
# clients will close the data connection, or there will be a timeout
# on an idle data connection.
#
#TLSRenegotiate required off
</IfModule>
Alles anzeigen
kann jemand helfen ?
der FTP-Client soll Fire-FTP sein,
ggf. kann der nur die Auth. per TLS, möchte dann aber die Datenübertragung selbst wieder über FTP machen (?)
(jedenfalls funkt. es mit Fire-FTP per TLS bei anderen FTP-Servern, bei meinem aber nicht ...)