Hallo zusammen
Sehr seltsames Problem. Ich habe letztes Jahr einen ProFTP Server mit SSL Verschlüsselung aufgebaut. Als Clienten benutze ich CuteFTP Pro 3.3. Alles hat hervorragend funktioniert. In letzter Zeit bin ich aber nur mit normalem FTP eingeloggt.
Nun wollte ich einen zweiten Server mit derselben Konfiguration aufbauen. Alles ist gleich konfiguriert wie auf dem ersten Server aber das SSL Login funktioniert hier nicht. Das Beste ist aber, es funktioniert nun auch auf dem alten Server nicht mehr! Derselbe Fehler - obwohl ich mich nicht erinnern kann, etwas an der Konfiguration geändert zu habe.
Hier die (alte) Konfiguration:
#
# SecureFTP - mod_TLS
#
TLSEngine on
TLSLog /var/log/proftp/tls.log
TLSProtocol TLSv1
# Are clients required to use FTP over TLS when talking to this server?
TLSRequired off
# Server's certificate
TLSRSACertificateFile /etc/proftp/ftp.cert.pem
TLSRSACertificateKeyFile /etc/proftp/ftp.key.pem
# CA the server trusts
TLSCACertificateFile /etc/proftp/CA.cert.pem
# Authenticate clients that want to use FTP over TLS?
TLSVerifyClient off
Wenn ich mit dem Clienten einlogge habe ich zwei Möglichkeiten - Explizit und Implizit. Der Fehler unterscheidet sich dabei:
Explizit SSL:
STATUS:> Getting listing ""...
STATUS:> Resolving host name ftp.domain.tld...
STATUS:> Host name ftp.domain.tld resolved: ip = 192.168.0.10.
STATUS:> Connecting to ftp server ftp.domain.tld:21 (ip = 192.168.0.10)...
STATUS:> Socket connected. Waiting for welcome message...
220 FTP Server ready...
STATUS:> Connected. Authenticating...
COMMAND:> AUTH SSL
500 Command not understood.
ERROR:> Syntax error, command unrecognized.
Implizit SSL:
STATUS:> Getting listing ""...
STATUS:> Resolving host name ftp.domain.tld...
STATUS:> Host name ftp.domain.tld resolved: ip = 192.168.0.10.
STATUS:> Connecting to ftp server ftp.domain.tld:21 (ip = 192.168.0.10)...
STATUS:> Socket connected. Waiting for welcome message...
STATUS:> Connected. Exchanging encryption keys...
ERROR:> SSL: Error in negotiating SSL connection. The server could be rejecting your certificate.
Soweit ich mich erinnern kann, hat noch im Februar 2004 beides funktioniert. In der Zwischenzeit ist das Zertifikat abgelaufen, aber ich habe es wieder erneuert. Ausserdem habe ich natürlich einige Patches eingespielt - evtl. auch für OpenSSL.
In den Logs steht leider nichts, auch das log.tls zeigt keine neuen Einträge.
Die "alten" Einträge vom Februar sahen noch so aus:
Feb 10 17:43:28 mod_tls/2.0.6[14862]: SSL/TLS-P requested, starting TLS handshake
Feb 10 17:43:31 mod_tls/2.0.6[14862]: TLSv1/SSLv3 connection accepted, using cipher DHE-RSA-AES256-SHA (256 bits)
Feb 10 17:43:31 mod_tls/2.0.6[14862]: Client: C = CH, CN = none, L = none, OU = none, O = none, ST = none, emailAddress = none
Feb 10 17:43:31 mod_tls/2.0.6[14862]: Protection set to Private
Feb 10 17:43:31 mod_tls/2.0.6[14862]: starting TLS negotiation on data connection
Feb 10 17:43:31 mod_tls/2.0.6[14862]: TLSv1/SSLv3 data connection accepted, using cipher DHE-RSA-AES256-SHA (256 bits)
Feb 10 17:46:30 mod_tls/2.0.6[15001]: SSL/TLS-P requested, starting TLS handshake
Weiss jemand, wo und wie ich mit der Fehlereingrenzung beginnen soll?
Besten Dank und viele Grüsse
elliot