[Eisfair] (unstable) pure-ftpd update und certs warning

Marcus Roeckrath marcus.roeckrath at gmx.de
Di Jul 25 14:06:25 CEST 2017


Hallo Hilmar,

Hilmar Böhm wrote:

> Ich muss gestehen, dass ich bzgl. Certs eine ziemlicher Laie bin :)

Lieben tue ich das ganze auch nicht.

> Folgende Liste von Zertifikaten scheinen auf meinem eis-server zu
> bestehen:
> 
> Certificate : /usr/local/ssl/certs/DST_Root_CA_X3.pem
> Certificate : /usr/local/ssl/certs/LetsEncryptAuthorityX3.pem
> Certificate : /usr/local/ssl/certs/cacert-class-1-root.pem
> Certificate : /usr/local/ssl/certs/cacert-class-3-root.pem
> Certificate : /usr/local/ssl/certs/pure-ftpd.pem

Du hast bislang noch kein lokales Server- und CA-Zertifikat erzeugt.

Das pure-ftpd.pem ist ein altes längst abgelaufenes Zertifikat aus einer
früheren Version des pure-ftpd-Paketes; das Paket liefert seit Version
1.7.x kein Default-Zertifikat mehr aus.

> Ist da was dabei, was ich gebrauchen und mit pure-ftp verlinken könnte.

Nein.

> Sie scheinen alle bis auf das erste abgelaufen zu sein.

Schau mal genau hin, nur das pure-ftpd-Zertifikat ist abgelaufen, oder habe
ich mich verguckt.

> Ein neues (eigenes) Zertifikat zu erstellen, scheint mir (unter dem
> Eis-Admin-("classic")-UI) nicht einfach zu sein:

Du müsstest erst eine CA und dann das Serverzertifikat erstellen.

In der eisfair-Doku müsste das bebildert beschrieben sein.

http://www.eisfair.org/fileadmin/eisfair/doc/node19.html#SECTION001990000000000000000

Ist der Server von extern erreichbar z. B. über eine DynDNS-Adresse? Dann
könntest Du auch das certs_dehydrated-Paket ein international gültiges
Zertifikat benutzen.

> ------------------------------------------
> Certificate generation
> Parameters
> 1 - change/set certificate type: client/server
> 2 - change/set certificate name: <please enter certificate name>
> 
> Certificate Authority (CA)
> = - show CA key and certificate file location
> Server/service/client certificate (sha384) (2048bits)
> == - [_] create a new key or select an existing one
> == - [_] create certificate request
> == - [_] sign certificate request with CA key
> == - [_] create Diffie-Hellman parameters (takes appr. 5min)
> == - [_] create .pem certificate and copy it to /usr/local/ssl/certs
> == - [_] create PKCS#12 document
> == - [_] check package dependent symbolic links
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> == - show certificate file details
> 
> Please select (1-2), change (b)its/(h)ash, (q)uit?

Zunächst mit <1> auf CA umschalten und die CA erzeugen (alle Punkte
abarbeiten). Dann das ganze Spielchen für das Serverzertifikat wieder holen
(1 und server/client auswählen; 2 und Namen wählen am besten fqdn deines
Servers) und alle weiteren Punkte abarbeiten.

In oben genannter Anleitung genau lesen.

> Was genau muss ich am "please select"-Prompt eingeben, damit ich ein
> eigenes Zertifikat für pure-ftpd erzeugen kann?

Du solltest ein allgemeines Serverzertifikat anlegen, welches du mit dem
"^^^^^^^^^^^^^^^^^" unterstrichen Punkt dann letzendlich automatisch zu den
notwendigen Diensten verlinken kannst.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair