Hallo,

in jeder Doku, die ich fand, und in der beschrieben wird wie man bei vsftp SSL einsetzt, ist das Zertifikat gleichzeitig der Private Key. Kann mir jemand erklären, wozu das gut sein soll? Beispielsweise hier:

http://gentoo-wiki.com/HOWTO_vsftpd

Nutze ich SSL auf einem Apache, habe ich zwei verschiedene Files. Einen Private Key, und einen Public Key (Zertifikat). Wie kann in diesen Anleitungen der Private Key gleichzeitig der Public Key sein?
Ist bei FTP irgend etwas anders? Ich denke nicht. Andernfalls hätte ich das asymmetrische Verschlüsselungsverfahren nicht verstanden.

Hier hat man den Schlüssel und das Zertifikat in nur einer Datei anstatt zwei.

Hallo,

und das ist sicherheitstechnisch kein Problem?

Wenn Du Dir anschaust wie andere Server Schlüssel/Zertifikate handhaben, hat sich Deine Frage damit erledigt :)

Die hat sich im Prinzip wirklich erledigt, da es keine Option gibt, die mir dem Primary Key für sich alleine setzen lassen will. :)

Hm, ich setze den vsftpd auch mit Verschlüsselung ein, und bei mir sind der
server.key (private) und server.crt unterschiedliche files. Eingerichtet nach:


man vsftpd.conf
...
rsa_cert_file
This option specifies the location of the RSA certificate to use for SSL encrypted connections.

Default: /usr/share/ssl/certs/vsftpd.pem

rsa_private_key_file
This option specifies the location of the RSA private key to use for SSL encrypted connections. If this option
is not set, the private key is expected to be in the same file as the certificate.

Default: (none)
...


PS: weil ich eben auch vom apache gewohnt war, dass die beiden in zwei
Dateien liegen und, außerdem, verschiedene chmod's haben:
server.key = 600
server.crt = 644 (sollen doch auch die 'Kinder' lesen können).

Danke. Hmmm, entweder hab ich einen Fehler bei der FF-Suche gemacht, während ich nach "privat" im Text der Doc auf der vsftp-Seite suchte, oder dieses Attribut steht in dieser Doku gar nicht drin.

Ich bekomme FTPS einfach nicht zum Laufen, obwohl ich mir sicher bin, dass ich alles richtig machte:

In Filezilla habe ich mich nach dieser Hilfe orientiert:

http://faq.mwhs-solutions.de/content/2/6/de/herstellen-einer-ftps-verbindung-mittels-filezilla.html

Ich bekomme aber kein Zertifikat angezeigt.
Stattdessen bekomme ich in Filezilla folgende Statusmeldung (IP hier wegen des öffentlichen Postings verfälscht):



Status: Warnung: Der gewählte Port wird üblicherweise von einem anderen Protokoll verwendet.
Status: Verbinde mit 66.333.22.11:21...
Status: Verbindung hergestellt, initialisiere TLS...
Fehler: Zeitüberschreitung der Verbindung
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen

Meine vsftpd.conf sieht bezüglich SSL so aus:



#FTPS aktivieren
ssl_enable=YES
force_local_logins_ssl=YES

#you should at least enable this if you enable ssl...
ssl_tlsv1=YES
#choose what you like
ssl_sslv2=NO
#choose what you like
ssl_sslv3=NO

#Zertifikatpfade
rsa_cert_file=/etc/vsftpd/certificate/vsftp.crt
rsa_private_key_file=/etc/vsftpd/pkey/vsftp.key


Die Pfade stimmen auf jeden Fall und bei der Erstellung des Keys und des Zertifikats wurde RSA verwendet.

Was habe ich falsch gemacht?

Hab's geschafft. In Filezilla muss Explizites FTPS, also FTPES ausgewählt werden, anstatt implizitem FTPS