SSL-Zertifikat als ungültig/self signed bei FTPS mit Proftpd

  • Guten Tag,


    bei der Zuweisung eines eigenen SSL-Zertifikats für Proftpd, der durch LiveConfig verwaltet wird fehlt in der proftpd.conf der Verweis auf die Zwischen- bzw. Root-Zertifikate: TLSCACertificateFile /etc/pfad_zum_ca-cert


    Die Folge ist, dass gültige signierte Zertifikate von FTP-Clients bei FTPS als ungültig moniert werden.


    Internette Grüße
    Reiko

  • bei der Zuweisung eines eigenen SSL-Zertifikats für Proftpd, der durch LiveConfig verwaltet wird fehlt in der proftpd.conf der Verweis auf die Zwischen- bzw. Root-Zertifikate: TLSCACertificateFile /etc/pfad_zum_ca-cert


    Die Folge ist, dass gültige signierte Zertifikate von FTP-Clients bei FTPS als ungültig moniert werden.


    Gerade bei uns geschaut: innerhalb der Datei /etc/ssl/certs/proftpd.crt befindet sich sowohl das eigentliche Server-Zertifikat, als auch die beiden CA-Bundle-Zertifikate von Comodo. Ist also ähnlich wie beim Nginx, der ebenfalls alle Zertifikate in einer Datei will.


    Wurde das CA-Zertifikat in LiveConfig auch hinterlegt? Was steht tatsächlich in der proftpd.crt?

  • Hallo Anton,


    das Zertifikat ist komplett inklusive CA in LC hinterlegt und wird auch problemlos beim Apache2 und Dovecot verarbeitet (ja, ich weiß, die Auth-Mechnismen bei FTPS/HTTPS usw. sind verschieden und somit nicht vergleichbar).


    In proftpd.crt steht tatsächlich die gesamte chain. Ich erhalte beim Verbinden (hier WinSCP) aber trotzdem siehe:
    https://www.dropbox.com/s/lrqx…11-12%2015.47.09.png?dl=0


    Setze ich in der proftpd.conf TLSCACertificateFile /etc/pfad_zum_ca-cert, dann wird das Zertifikat bei der Verbindung nicht angefragt.


    Gruß
    Reiko

  • Ich merke gerade, der Sachverhalt stellt sich doch noch anders dar:


    LC schreibt in die proftpd.conf:


    TLSRSACertificateFile /etc/ssl/certs/proftpd.crt
    TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key


    Ich habe das nun auskommentiert und mal das Zertifikat aus der (funktionierenden) VHOST-Konfiguration des Apache eingesetzt und damit funktioniert es korrekt:
    #TLSRSACertificateFile /etc/ssl/certs/proftpd.crt
    #TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key


    TLSRSACertificateFile /etc/ssl/certs/e728dffBLABLA7c.crt
    TLSRSACertificateKeyFile /etc/ssl/private/e728dffBLABLA7c.key
    TLSCACertificateFile /etc/ssl/certs/e728dffBLABLA7c-ca.crt


    Meine vorherige Aussage:
    TLSRSACertificateFile /etc/ssl/certs/proftpd.crt
    TLSRSACertificateKeyFile /etc/ssl/private/proftpd.key
    TLSCACertificateFile /etc/ssl/certs/BLABLABLAc-ca.crt
    würde funktionieren, ist NICHT richtig.


    Ideen?

  • Guten Abend Herr Keppler,


    danke, dass Sie sich das Sache so zügig angenommen haben. Jetzt funktioniert es einwandfrei. Natürlich mußte nach dem LC Neustart noch einmal die Proftpd-Konfiguration in LC aktualisiert werden.


    Aber wie das so ist im Leben, ich habe da gleich noch ein Problem, dazu mache ich aber nätürlich einen neuen Thread auf :)


    Ansonsten weiter so: je länger ich LiveConfig benutze, desto besser finde ich es ;)


    Internette Grüße
    Reiko

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!