[Eisfair] (unstable) pure-ftpd update und certs warning
Hilmar Böhm
hilmar.boehm at web.de
Di Jul 25 13:30:27 CEST 2017
Vielen Dank an Marcus und Ansgar (für seine PM (?)).
Ich muss gestehen, dass ich bzgl. Certs eine ziemlicher Laie bin :)
Folgende Liste von Zertifikaten scheinen auf meinem eis-server zu bestehen:
-----------------------------------------------------------------------
Current date : Jul 25 12:31:20 2017 CEST
Certificate : /usr/local/ssl/certs/DST_Root_CA_X3.pem
Subject : /O=Digital Signature Trust Co./CN=DST Root CA X3
Valid from : Sep 30 21:12:19 2000 GMT
Valid until: Sep 30 14:01:15 2021 GMT
Certificate : /usr/local/ssl/certs/LetsEncryptAuthorityX3.pem
Subject : /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
Valid from : Mar 17 16:40:46 2016 GMT
Valid until: Mar 17 16:40:46 2021 GMT
Certificate : /usr/local/ssl/certs/cacert-class-1-root.pem
Subject : /O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing
Authority/emailAddress=support at cacert.org
Valid from : Mar 30 12:29:49 2003 GMT
Valid until: Mar 29 12:29:49 2033 GMT
Certificate : /usr/local/ssl/certs/cacert-class-3-root.pem
Subject : /O=CAcert Inc./OU=http://www.CAcert.org/CN=CAcert Class 3 Root
Valid from : Oct 14 07:36:55 2005 GMT
Valid until: Mar 28 07:36:55 2033 GMT
Certificate : /usr/local/ssl/certs/pure-ftpd.pem
Subject : /C=DE/ST=Nordrhein
Westfalen/L=Koeln/O=privat/OU=eisfair/CN=eis/emailAddress=eis at eis.de
Valid from : Sep 3 09:36:18 2006 GMT
Valid until: Sep 3 09:36:18 2007 GMT
-----------------------------------------------------------------------
Ist da was dabei, was ich gebrauchen und mit pure-ftp verlinken könnte.
Sie scheinen alle bis auf das erste abgelaufen zu sein.
Ein neues (eigenes) Zertifikat zu erstellen, scheint mir (unter dem
Eis-Admin-("classic")-UI) nicht einfach zu sein:
------------------------------------------
Certificate generation
Parameters
1 - change/set certificate type: client/server
2 - change/set certificate name: <please enter certificate name>
Certificate Authority (CA)
= - show CA key and certificate file location
Server/service/client certificate (sha384) (2048bits)
== - [_] create a new key or select an existing one
== - [_] create certificate request
== - [_] sign certificate request with CA key
== - [_] create Diffie-Hellman parameters (takes appr. 5min)
== - [_] create .pem certificate and copy it to /usr/local/ssl/certs
== - [_] create PKCS#12 document
== - [_] check package dependent symbolic links
== - show certificate file details
Please select (1-2), change (b)its/(h)ash, (q)uit?
------------------------------------------
Was genau muss ich am "please select"-Prompt eingeben, damit ich ein
eigenes Zertifikat für pure-ftpd erzeugen kann?
Vielen Dank für einen Hinweis und Grüße. / Hilmar.
Btw: Dank an Ansgar für den PURE_FTPD_TLS - Tip.
Am 25.07.2017 um 11:22 schrieb Marcus Roeckrath:
> Hallo Hilmar,
>
> Hilmar Böhm wrote:
>
>> beim Update des pure-ftpd Pakets erhielt ich folgendes Warning.
>>
>> ---------------------------------------------------------------------
>> Installation of: pure-ftpd (2.9.1) ...
>> *Warning check_pem_file: /var/certs/ssl/certs/pure-ftpd.pem has no DH
>> PARAMETERS
>> section.*
>> You can't use pure-ftpd when TLS is enabled.
>> Successfully installed: pure-ftpd (2.9.1)!
>> ---------------------------------------------------------------------
>>
>> Kann mir bitte jemand erklären, was "You can't use pure-ftpd when TLS is
>> enabled." bedeutet? Kann ich keine sichere Verbindung zur pure-ftpd mehr
>> aufbauen?
>
> Wahrscheinlich ja.
>
>> "/var/certs/ssl/certs/pure-ftpd.pem" ent nur 2 begin-end Blöcke mit Keys
>> ---------------------------------------------------------------------
>> -----BEGIN RSA PRIVATE KEY-----
>> ....
>> ....
>> -----END RSA PRIVATE KEY-----
>> -----BEGIN CERTIFICATE-----
>> ....
>> ....
>> -----END CERTIFICATE-----
>> ---------------------------------------------------------------------
>
> Du hast ein lokales Serverzertifikat erzeugt?
>
> Dieses enthält auch den DH-Block?
>
> exim.pem, apache.pem und weitere lokale .pems(s) verweisen darauf?
>
> Dann würde ich auch dieses für pure-ftpd benutzen.
>
> Den notwendigen Link kannst Du manuell oder über das Certs-Paket erstellen
> (lassen).
>
Mehr Informationen über die Mailingliste Eisfair