Instalando o certificado StartSSL no ProFTPD

1

No momento, estou com problemas para instalar um certificado StartSSL no ProFTPD.

Estes são os arquivos que eu tenho:

cert.pem                 - certificate file
cert.key                 - corresponding key file
sub.class2.server.ca.pem - intermediate certificate
ca.pem                   - root certificate

No Apache, tenho a seguinte configuração que funciona bem:

SSLCertificateFile      cert.pem
SSLCertificateKeyFile   cert.key
SSLCertificateChainFile sub.class2.server.ca.pem
SSLCACertificateFile    ca.pem

Como devo configurar o ProFTPD para meus certificados? Não importa o que eu tente, ou recebo um erro que a cadeia de certificados não está completa ou que o último certificado (o certificado raiz) é autoassinado. Eu tentei colocar o cert.pem sozinho em TLSRSACertificateFile e o chain + root certs em TLSCACertificateFile, tentei colocar a raiz em TLSCACertificateFile e a cadeia em TLSCertificateChainFile, tentei colocar a raiz em TLSCACertificateFile e a cadeia cert + em TLSRSACertificateFile, nada funcionou.

Qualquer ajuda seria apreciada.

    
por smares 26.02.2014 / 18:53

1 resposta

0

Isso vem da documentação on-line da ProFTPD :

<IfModule mod_dso.c>
  # If mod_tls was built as a shared/DSO module, load it
  LoadModule mod_tls.c
</IfModule>

<IfModule mod_tls.c>
  TLSEngine on
  TLSLog /var/ftpd/tls.log

  # Support both SSLv3 and TLSv1
  TLSProtocol SSLv3 TLSv1

  # Are clients required to use FTP over TLS when talking to this server?
  TLSRequired off

  # Server's certificate
  TLSRSACertificateFile /etc/ftpd/server.cert.pem
  TLSRSACertificateKeyFile /etc/ftpd/server.key.pem

  # CA the server trusts
  TLSCACertificateFile /etc/ftpd/root.cert.pem

  # Authenticate clients that want to use FTP over TLS?
  TLSVerifyClient off

  # Allow SSL/TLS renegotiations when the client requests them, but
  # do not force the renegotations.  Some clients do not support
  # SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
  # clients will close the data connection, or there will be a timeout
  # on an idle data connection.
  TLSRenegotiate none

</IfModule>

Verifique todas as possíveis diretrizes relacionadas a TLS / SSL aqui .

Você também deve verificar a cadeia de certificados. Você pode fazer isso usando ferramentas padrão, como OpenSSL :

    
por 26.02.2014 / 22:23