Назад | Перейти на главную страницу

из hp ux 11.3 шаги openssl для подключения к ftps intrinsic-TLS / SSL

Очень специфический вопрос о hpux11.31. Как клиент ftps на компьютере hpux, мне нужно подключиться к серверу ftps, используя встроенный SSL / TLS. Люди могут сказать использовать filezilla или curl. Я этого не ищу. Я ищу шаги и команды openssl, которые может запустить человек для настройки клиентского соединения с hp.

Я видел множество страниц, на которых рассказывается о загрузке программного обеспечения и выполнении определенных команд. Но я не могу найти ни одного сайта, который объясняет это.

Я сейчас плохо угадаю, и вы поймете, насколько это неправильно. Я делаю сертификат ЦС. Я как-то получаю сертификат удаленного ftp-сайта. Я творит чудеса с их сертификатом. подписать его? доверять этому? конвертировать в формат pem? Сделаю несколько ключей rsa. Я запускаю ftps -z с множеством заполненных переменных. Я волшебным образом получаю приглашение входа в систему. Но для меня? Я получаю сообщение «ВНИМАНИЕ! Инициализация SSL / TLS не удалась».

Клиентские сертификаты или просто сертификат сервера? я считать CAfile также работает для серверного CA, хотя в документации это явно не указано.

Если повышение уровней отладки на клиенте не помогает, также рассмотрите возможность захвата пакета сеанса. Анализ этого покажет любой разговор TLS.

Полный пример задокументирован в статье HP-UX - FTPS: Как настроить FTPS на FTP-клиенте, часть из которых следует.

Полная ссылка на ftp, приведенная здесь: Примечания к выпуску WU-FTPD 2.6.1, HP-UX 11i v1, HP-UX 11i v2, HP-UX 11i v3. Удачи в расшифровке серверного CA из него, кажется, он перепутался в примерах, предоставляющих клиентские сертификаты.


Подключитесь с помощью командной строки:

# ftp -z CAfile=/etc/ftp/security/cacert.pem <server> 

# ftp -z CAfile=/etc/ftp/security/cacert.pem \ 
-z cert=/home/user1/client-cert.pem \ 
-z key=/home/user1/client-key.pem <server> 

Подключитесь с помощью файла конфигурации:

# vi /home/user1/.tls.conf 
CAfile=/etc/ftp/security/cacert.pem 
rsacert=/home/user1/certs/client-cert.pem 
rsakey=/home/user1/certs/client-key.pem 
# ftp -z config=/home/user1/.tls.conf <server> 

Подключение с использованием переменных среды: Ниже приведены минимальные необходимые переменные для базового подключения FTPS. Обязательно добавьте дополнительные соответствующие переменные, если требуется сертификат клиента для аутентификации. Подробности см. В примечаниях к выпуску WU_FTPD. Важно использовать to source в файле переменных среды, чтобы сохранить их в существующей оболочке.

# vi /home/user1/.ftps_envar.sh 
\#The following are the minimum options for ftps: 
export FTP_USESSL=1 
export FTP_SSL_CA_FILE=/etc/ftp/security/cacert.pem #CACert 

# cd /home/user1/ 
# . /home/user1/.ftps_envar.sh 
# ftp <server> 

Сессия FTPS:

# ftp -z CAfile=/etc/ftp/security/cacert.pem MyFTPServerHostName.hp.com 

Connected to MyFTPServerHostName.hp.com. 
220 MyFTPServerHostName.hp.com FTP server (Revision 1.1 Version wuftpd-2.6.1(PHNE_38578) Fri Sep 5 12:10:54 GMT 2008) ready. 
234 AUTH TLS OK. ? TLS/SSL Authentication passed 
[TLSv1/SSLv3, cipher DHE-RSA-AES256-SHA, 256 bits] 
Name (0:root): 
331 Password required for root. 
Password: 
230 User root logged in. 
Remote system type is UNIX. 
Using binary mode to transfer files. 

ftp>status 
… 
TLS/SSL protection of control connection: on. 
TLS/SSL protection of data connections: off. 

Устранение неполадок FTPS

Проверьте версию ОС, WU-FTPD и SSL. Просмотрите параметры интерфейса командной строки ftpd и ftp. Просмотрите файлы конфигурации и / или содержимое переменных среды. Просмотрите пути к файлам сертификатов и разрешения для файлов. Просмотрите файл системного журнала сервера. Просмотрите сами файлы сертификатов:

ftpd-rsa-ca.pem/cacert.pem #CAPubKey 
ftpd-rsa-cert.pem/newcert.pem #CAPubKey 
ftpd-rsa-key.pem/newkey.pem #SvrPriKey 
# openssl x509 -text -noout -in /etc/ftpd/security/cacert.pem |more 

Отладка с помощью:

# ftpd -v -l -z debug=2 -z logalldata 
# ftp -z debug=2 -z secure -z logfile=/tmp/ssl.log -z

Вы говорите, что вам не нужен curl, но вам не повезло с ftp, и действительно существуют сборки curl для HP-UX. Можно создать свой собственный, но я предлагаю существующий репозиторий, например Центр переноса и архивирования HP-UX.

Зачем пересматривать другой инструмент, например завиток? Это полнофункциональный клиент с документацией. Принудительное использование данного сертификата CA с помощью TLS просто с явными параметрами:

 curl --cacert ca.pem --ssl-reqd --dump-header ftp-log.txt  ftp://ftp.example.org/file.txt

Что касается предположений: постарайтесь не предполагать, что все работает так, как рекламируется, проверьте их с помощью других инструментов. К сожалению, даже корпоративное программное обеспечение подвержено ошибкам или плохому пользовательскому интерфейсу. Иногда это относится как к системному администратору, так и к обеспечению качества.