Назад | Перейти на главную страницу

Установка сертификата StartSSL в ProFTPD

В настоящее время у меня возникли проблемы с установкой сертификата StartSSL в ProFTPD.

Вот файлы, которые у меня есть:

cert.pem                 - certificate file
cert.key                 - corresponding key file
sub.class2.server.ca.pem - intermediate certificate
ca.pem                   - root certificate

В Apache у меня есть следующая конфигурация, которая отлично работает:

SSLCertificateFile      cert.pem
SSLCertificateKeyFile   cert.key
SSLCertificateChainFile sub.class2.server.ca.pem
SSLCACertificateFile    ca.pem

Как мне настроить ProFTPD для данных сертификатов? Что бы я ни пытался, я либо получаю сообщение об ошибке, что цепочка сертификатов не завершена, либо последний сертификат (корневой) самоподписанный. Я попытался разместить только cert.pem в TLSRSACertificateFile, а цепочку + корневые сертификаты в TLSCACertificateFile, я попытался разместить корень в TLSCACertificateFile и цепочку в TLSCertificateChainFile, я попытался поместить корень в TLSCACertificateFile и цепочку cert + в TLSRSACertificateFile, ничего не сработало.

Любая помощь будет оценена.

Это происходит из Онлайн-документация ProFTPD:

<IfModule mod_dso.c>
  # If mod_tls was built as a shared/DSO module, load it
  LoadModule mod_tls.c
</IfModule>

<IfModule mod_tls.c>
  TLSEngine on
  TLSLog /var/ftpd/tls.log

  # Support both SSLv3 and TLSv1
  TLSProtocol SSLv3 TLSv1

  # Are clients required to use FTP over TLS when talking to this server?
  TLSRequired off

  # Server's certificate
  TLSRSACertificateFile /etc/ftpd/server.cert.pem
  TLSRSACertificateKeyFile /etc/ftpd/server.key.pem

  # CA the server trusts
  TLSCACertificateFile /etc/ftpd/root.cert.pem

  # Authenticate clients that want to use FTP over TLS?
  TLSVerifyClient off

  # Allow SSL/TLS renegotiations when the client requests them, but
  # do not force the renegotations.  Some clients do not support
  # SSL/TLS renegotiations; when mod_tls forces a renegotiation, these
  # clients will close the data connection, or there will be a timeout
  # on an idle data connection.
  TLSRenegotiate none

</IfModule>

Проверьте все возможные директивы, связанные с TLS / SSL Вот.

Вам также следует проверить цепочка сертификатов. Вы можете сделать это с помощью стандартных инструментов, например OpenSSL: