Очень специфический вопрос о hpux11.31. Как клиент ftps на компьютере hpux, мне нужно подключиться к серверу ftps, используя встроенный SSL / TLS. Люди могут сказать использовать filezilla или curl. Я этого не ищу. Я ищу шаги и команды openssl, которые может запустить человек для настройки клиентского соединения с hp.
Я видел множество страниц, на которых рассказывается о загрузке программного обеспечения и выполнении определенных команд. Но я не могу найти ни одного сайта, который объясняет это.
Я сейчас плохо угадаю, и вы поймете, насколько это неправильно. Я делаю сертификат ЦС. Я как-то получаю сертификат удаленного ftp-сайта. Я творит чудеса с их сертификатом. подписать его? доверять этому? конвертировать в формат pem? Сделаю несколько ключей rsa. Я запускаю ftps -z с множеством заполненных переменных. Я волшебным образом получаю приглашение входа в систему. Но для меня? Я получаю сообщение «ВНИМАНИЕ! Инициализация SSL / TLS не удалась».
Клиентские сертификаты или просто сертификат сервера? я считать CAfile также работает для серверного CA, хотя в документации это явно не указано.
Если повышение уровней отладки на клиенте не помогает, также рассмотрите возможность захвата пакета сеанса. Анализ этого покажет любой разговор TLS.
Полный пример задокументирован в статье HP-UX - FTPS: Как настроить FTPS на FTP-клиенте, часть из которых следует.
Полная ссылка на ftp, приведенная здесь: Примечания к выпуску WU-FTPD 2.6.1, HP-UX 11i v1, HP-UX 11i v2, HP-UX 11i v3. Удачи в расшифровке серверного CA из него, кажется, он перепутался в примерах, предоставляющих клиентские сертификаты.
Подключитесь с помощью командной строки:
# ftp -z CAfile=/etc/ftp/security/cacert.pem <server>
# ftp -z CAfile=/etc/ftp/security/cacert.pem \
-z cert=/home/user1/client-cert.pem \
-z key=/home/user1/client-key.pem <server>
Подключитесь с помощью файла конфигурации:
# vi /home/user1/.tls.conf
CAfile=/etc/ftp/security/cacert.pem
rsacert=/home/user1/certs/client-cert.pem
rsakey=/home/user1/certs/client-key.pem
# ftp -z config=/home/user1/.tls.conf <server>
Подключение с использованием переменных среды: Ниже приведены минимальные необходимые переменные для базового подключения FTPS. Обязательно добавьте дополнительные соответствующие переменные, если требуется сертификат клиента для аутентификации. Подробности см. В примечаниях к выпуску WU_FTPD. Важно использовать to source в файле переменных среды, чтобы сохранить их в существующей оболочке.
# vi /home/user1/.ftps_envar.sh
\#The following are the minimum options for ftps:
export FTP_USESSL=1
export FTP_SSL_CA_FILE=/etc/ftp/security/cacert.pem #CACert
# cd /home/user1/
# . /home/user1/.ftps_envar.sh
# ftp <server>
Сессия FTPS:
# ftp -z CAfile=/etc/ftp/security/cacert.pem MyFTPServerHostName.hp.com
Connected to MyFTPServerHostName.hp.com.
220 MyFTPServerHostName.hp.com FTP server (Revision 1.1 Version wuftpd-2.6.1(PHNE_38578) Fri Sep 5 12:10:54 GMT 2008) ready.
234 AUTH TLS OK. ? TLS/SSL Authentication passed
[TLSv1/SSLv3, cipher DHE-RSA-AES256-SHA, 256 bits]
Name (0:root):
331 Password required for root.
Password:
230 User root logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>status
…
TLS/SSL protection of control connection: on.
TLS/SSL protection of data connections: off.
Устранение неполадок FTPS
Проверьте версию ОС, WU-FTPD и SSL. Просмотрите параметры интерфейса командной строки ftpd и ftp. Просмотрите файлы конфигурации и / или содержимое переменных среды. Просмотрите пути к файлам сертификатов и разрешения для файлов. Просмотрите файл системного журнала сервера. Просмотрите сами файлы сертификатов:
ftpd-rsa-ca.pem/cacert.pem #CAPubKey
ftpd-rsa-cert.pem/newcert.pem #CAPubKey
ftpd-rsa-key.pem/newkey.pem #SvrPriKey
# openssl x509 -text -noout -in /etc/ftpd/security/cacert.pem |more
Отладка с помощью:
# ftpd -v -l -z debug=2 -z logalldata
# ftp -z debug=2 -z secure -z logfile=/tmp/ssl.log -z
Вы говорите, что вам не нужен curl, но вам не повезло с ftp, и действительно существуют сборки curl для HP-UX. Можно создать свой собственный, но я предлагаю существующий репозиторий, например Центр переноса и архивирования HP-UX.
Зачем пересматривать другой инструмент, например завиток? Это полнофункциональный клиент с документацией. Принудительное использование данного сертификата CA с помощью TLS просто с явными параметрами:
curl --cacert ca.pem --ssl-reqd --dump-header ftp-log.txt ftp://ftp.example.org/file.txt
Что касается предположений: постарайтесь не предполагать, что все работает так, как рекламируется, проверьте их с помощью других инструментов. К сожалению, даже корпоративное программное обеспечение подвержено ошибкам или плохому пользовательскому интерфейсу. Иногда это относится как к системному администратору, так и к обеспечению качества.