[Eisfair_dev] [e64] proftpd 0.9.4 Zertifikat

Ansgar Püster ansgar.puester at netcologne.de
So Mär 8 16:39:06 CET 2020 

Hallo,

Am 08.03.2020 um 11:46 schrieb Detlef Paschke:
> Hallo,
> 
> mir ist gerade aufgefallen, das in meiner Konfiguration von proftpd als
> PROFTPD_CERTIFICATE_FILE mein Serverzertifikat eingetragen ist.
> Soweit so gut.
> Nur habe ich, wie es immer wieder empfohlen wird, für alle Dienste einen
> Symlink auf das Serverzertifikat in der Art apache.pem, exim.pem und
> auch proftpd.pem (hat proftp seinen dazumal nicht auch selbst erstellt?).
> 
> In der Auswahlliste mit ECE wird aber keiner dieser Symlinks angezeigt.
> Ich habe mal ganz gemein mit einem Editor den Eintrag in proftpd.pem
> geändert, die Konfiguration aufgerufen und ohne weitere Änderungen
> wieder abgespeichert. Es gab keine Probleme.
> 
> Ist ja nur ein optisches Ding aber wenn man schon die Symlinks hat,
> können sie auch angezeigt werden.

Meines Wissens soll die Implementierung wie folgt geschehen:

- Nur das certs Paket legt echte Zertifkats-Dateien in
   /var/certs/ssl/certs an.
- Alle anderen Pakete legen jeweils für sich einen Link
   auf eine Zertifikats-Datei an.
- Diese Pakete zeigen ggf. in der Auswahl nur Zertifikats-Dateien,
   nicht aber den eigenen Link oder Links anderer Pakete an.
   Dies stellt sicher, dass nicht ein Link auf einen Link
   angelegt wird und dann bei Deinstallation des Paketes mit
   dem Ziellink der eigene Link plötzlich ins Leere zeigt.

Daraus resultiert dann ein Verzeichnis, wir in folgendem Beispiel:

lrwxrwxrwx 1 root   root      41 May  2  2019 apache.pem -> 
/usr/local/ssl/certs/xptest.fritz.box.pem
lrwxrwxrwx 1 root   root      20 Oct 11 14:59 proftpd.pem -> 
xptest.fritz.box.pem
lrwxrwxrwx 1 root   root      20 May  2  2019 pure-ftpd.pem -> 
xptest.fritz.box.pem
-rw-r--r-- 1 root   root    3521 May  2  2019 xptest.fritz.box.pem

Dass hier einmal lokale Links angezeit wwerden, beim apache
aber /usr/local/ssl/certs/xptest.fritz.box.pem verwirrt ein wenig.
/usr/local/ssl ist aber ein Link auf /var/certs/ssl

lrwxrwxrwx 1 root root 14 May  2  2019 /usr/local/ssl -> /var/certs/ssl

In meiner Konfiguration steht daher auch
PROFTPD_CERTIFICATE_FILE='xptest.fritz.box.pem'
xptest.fritz.box.pem ist mein Server-Zertifikat.

Die händische Korrektur in deiner Konfiguration ist also meines
Erachtens O.K.

Welche Ausgabe kommt, wenn du
cert_path='/var/certs/ssl/certs'
find $cert_path -maxdepth 1 -type f -name '*.pem' -printf '%f,\n' | sort
ausführst?

Wird na nicht dein Server-Zertifikat angezeigt?

Sorry: ich werde keine Symlinks bei der Auswahl anzeigen!
Das ist nämlich kein optisches Ding, sondern führt zu Fehlern.

So weit erst mal.
Gruß,
Ansgar

Mehr Informationen über die Mailingliste Eisfair_dev