vsftpd не дает действительный сертификат с помощью сертификата CA
При установке vsftpd у нас есть проблемы с ним, не обеспечивая доверительное соединение нас основной pem контейнер сертификата, использующий просто наш закрытый ключ и сертификат.
Мы создали наш pem файл со следующими командами.
кошка somecert.com.crt>> somepem.pem
кошка somecertkey.com.key>> somepem.pem
Конфигурация сертификата SSL vsftpd.conf
/etc/vsftpd/vsftpd.conf
ssl_enable=YES
ssl_tlsv1=YES
rsa_cert_file =/etc/httpd/ssl/somepem.pem
При соединении использующий lftp в режиме отладки я видел, что мы дающий сертификат с достаточным количеством информации, чтобы быть устанавливаем полную цепочку полномочий. Гарантировать его доверяли.
lftp-d-u user:pass myserver.com
....
ОШИБКА: проверка Сертификата: Не доверяемый
**** Проверка сертификата: Не доверяемый
----Закрытие сокета управления
Мне нужно получить полную цепочку полномочий и добавить ее в контейнер сертификата pem Благодаря stackExchange есть несколько хороших решений этой проблемы.
эхо-соединение | openssl s_client -connect myserver.com:443 2> & 1 | sed -ne '/ -BEGIN CERTIFICATE - /, / - END CERTIFICATE- / p'> cert.pem
Теперь мы можем обновить созданный сертификат, включив в него всю цепочку полномочий.
Нам нужно обновить конфигурацию vsftpd
vim /etc/vsftpd/vsftpd.conf
ssl_enable = ДА
ssl_tlsv1 = ДА
rsa_private_key_file = / etc / httpd / ssl / somepem.pem
rsa_cert_file = / etc / vsftpd / ssl / cert.pem
Тест с использованием lftp
lftp -d -u пользователь: pass myserver.com
Сертификат: C = US, ST = Arizona, L = Scottsdale, O = Starfield Technologies \, Inc., OU = http://certificates.starfieldtech.com/repository,CN=Starfield Безопасная сертификация> Центр сертификации, серийный номер = 10688435
Выдан: C = США, O = Starfield Technologies \, Inc., OU = Центр сертификации Starfield Class 2
Проверка: C = США, O = Starfield Technologies \, Inc., OU = Центр сертификации Starfield Class 2
Надежный
Сертификат: C = США, O = Starfield Technologies \, Inc., OU = Центр сертификации Starfield класса 2
Выдан: C = США, O = Starfield Technologies \, Inc., OU = Центр сертификации Starfield Class 2
Trusted
Важно правильно упаковать pem-файл в правильном порядке.
how-do-i-make-my-own-bundle-file-from-crt-files
Создание .pem с вся цепочка доверенных сертификатов SSL
Войдите в консоль управления DigiCert и загрузите промежуточный (DigiCertCA.crt), корневой (TrustedRoot.crt) и первичный сертификаты (your_domain_name.crt). Откройте текстовый редактор (например, Wordpad) и вставьте все тело каждого сертификата в один текстовый файл в следующем порядке:
- Основной сертификат - your_domain_name.crt
- Промежуточный сертификат - DigiCertCA.crt
- Корневой сертификат - TrustedRoot.crt
Не забудьте включить начальный и конечный теги в каждый сертификат. Результат должен выглядеть> следующим образом:
----- BEGIN CERTIFICATE -----
(Ваш основной сертификат SSL: your_domain_name.crt)
----- КОНЕЦ СЕРТИФИКАТА -----
----- НАЧАТЬ СЕРТИФИКАТ -----
(Ваш промежуточный сертификат: DigiCertCA.crt)
----- КОНЕЦ СЕРТИФИКАТА -----
----- НАЧАТЬ СЕРТИФИКАТ -----
(Ваш корневой сертификат: TrustedRoot.crt)
----- КОНЕЦ СЕРТИФИКАТА -----
Сохраните объединенный файл как your_domain_name.pem. Теперь файл .pem готов к использованию.
Вы всегда можете настроить свой ftp-клиент так, чтобы он игнорировал сертификаты. Это небезопасно, и этого следует избегать. Делайте это на свой страх и риск. http://anils-tips.blogspot.com/2011/05/lftp-fatal-error-certificate.html
lftp (скрыто) Пароль:
cd: Неустранимая ошибка: Проверка сертификата: Не доверяет
Чтобы полностью отключить проверку сертификата в lftp.
Это не очень хорошая идея, если вас беспокоит безопасность
cat ~ / .lftp / rc
установить ssl: verify-certificate №
или
Если вы просто хотите сделать это для одного конкретного хоста, вы можете.
lftp -e "set ssl: verify-certificate no" (скрыто)