SSL auf Gene6 FTP Server

  • Problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • SSL auf Gene6 FTP Server

    Hi,
    hat einer ne Ahnung, wie man n Gene6 FTP Server auf SSL umstellt?
    Soweit ich das jetzt raushab, muss man dazu ein selbstsigniertes Zertifikat erstellen. Bei Gene6 muss man dann allerdings Angaben über den Eigner des Zertifikats machen, was für mich als Laien auf dem Gebiet nur die Schlussfolgerung zulässt, dass dieser Programmteil von Gene6 nur ein Import-Feature für ein schon existierendes eigenes Zertifikat ist.
    Ich hab deshalb WinPT (eine Windows-Version, die mit dem Linux-Programm GnuPG arbeitet) installiert, um mir damit ein eigenes Zertifikat zu erstellen, dass ich dann zu einem keyserver in Deutschland geschickt habe.
    Also hab ich im Gene6 bei "Certificate name" den Namen vom keyserver angegeben (soll man so machen, steht im Gene6 manual) und ansonsten abgesehn von den Zusatzangaben - Ort/Provinz/Land/Organisation/Unit - meine Email-Adresse und meinen Namen angegeben, wie ich das schon im Zertifikat gemacht hab, das ich mit WinPT erstellt hab.

    Also im Klartext hab ich ein Zertifikat erstellt, das mit meinem FTP-Server verlinkt und mich selbst drauf eingeklinkt (implicit SSL) -> und krieg keine Verbindung zum Server. (Port is richtig eingestellt).

    Kann mir dabei einer helfen?

    greetz,
    Luzi
  • wie ich jetzt weiss, sind für diesen FTP-Server Zertifikate, die auf Zertifikatservern gespeichert werden, völlig überflüssig.
    hab mal n paar Kumpels aus meiner Umgebung gefragt und einer sagte mir dann, dass die Angaben, die man im Gene6 FTP-Server Administrator-Tool unter Certificates macht, eigentlich ziemlich egal sind, bis auf die Ausnahmen bei Country DE und bei Common name muss die Adresse des Servers stehen - also entweder die eigentliche IP oder die DDNS-Adresse. Letzteres ist die virtuelle Adresse, die als IP-Weiterleitung fungiert, die man verwendet, wenn man (einen Router mit) eine dynamische anstatt einer statischen IP hat (also eine IP, die bei Router-Start und sonst alle 24 Std, wechselt).
    Solche Accounts gibt es z.B. bei dyndns.org oder no-ip.com.

    Um also zurück auf das SSL zu kommen: das erstellte Zertifikat muss dann hinterher nur noch unter "[...]FTP-Server -> Domain -> eigene Domain -> SSL" ausgewählt werden und unter "[...]FTP-Server -> Domain -> eigene Domain -> IP Binding" muss eine Maske erstellt werden, die auf SSL läuft; d.h. es muss eine ein anderer Port als der für unverschlüsselte Verbindung angegeben werden (Standard ist Port 990), implicit SSL muss eingestellt und eine IP-Range (Gruppe von IPs, die in Verbindung mit diesem auf den Server zugreigen darf; * für alle möglichen IPs ist als Standard angegeben - lohnt sich nur zu verändern, wenn man über diesen speziellen Port z.B. ein bestimmtes Netzwerk in den Server lassen will)

    Bei Fragen dazu kann man mir ne PN schicken...
  • Also generell ist die FTP Server Software die du da benutzen willst sehr ungünstig ... erstens ist die exploitbar (Sicherheitslücken), 2. unkomfortabel.

    Wenn du eine gute Server Software mit SSL benötigst, empfehle ich dringlichst ioFTPD mit allen nötigen Scripten (ioBanana, ioA, etc etc). Wenn du dich da mal reinfinden möchtest, kann ich dir die Software zur Verfügung stellen (vorgeconfigt), du musst halt nur die Dirs/VFS und Pfade in den Scripten ändern.

    Generell kannst du über das Batch File rsa_keygen.bat

    @echo off
    echo This batch will generate an SChannel compatible RSA 1024bits key for your ioFTPD
    echo -----
    set temphost=
    set /P temphost=Please enter your server's hostname (example: xxx.dyndns.org):
    echo Please Wait ... generating new certificate
    echo -----
    makecert.exe -r -n "CN=%temphost%" -b 01/01/2004 -e 01/01/2010 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr CurrentUser -sk %temphost% -a md5 -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 ioftpd.cer
    echo -----

    pause


    das Cert für deinen Host erstellen. Über Start .. Ausführen ... cmd.exe ... ipconfig /all erfährst du die Host Bezeichnung deines Servers.

    Über ein weiteres Batch Files namens install.bat

    @echo off
    c:\ioFTPD\cert\makecert.exe -r -n "CN=JHE-LH5AADD1VTF" -b 01/01/2004 -e 01/01/2006 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr CurrentUser -a sha1 -sk JHE-LH5AADD1VTF -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12



    wo du nur den Pfad zur makecert.exe anpassen musst, installierst du da Cert passend für deinen Server [128-256 bit SSL mit Auth & Site To Site].

    Die nötigen Files (falls du brauchst) kann ich Dir gerne zur Verfügung stellen. Schreib mir einfach eine PM.