[CentOS-es] Certificado valido para Pure-FTP

[Salvador Guzman - Salman PSL]

    :: Pues despues de leer la pagina que me indicas y hacer lo que van
    explicando, y que de hecho ya habia yo intentado, se me encendio una
    lucecita, y pense ...

    ¿ Y si la culpa no es del pure-ftp sino del FileZilla ?

    Instale el primer programa de FTP que me mostro el Sr. Google y ...
    sorpresa, no dio ningun mensaje de aviso, se conecto a la primera
    sin mayor problema.

    Aqui teneis el "dialogo" de la conexion:

    [15:21:35] SmartFTP v5.0.1354.0
    [15:21:35] Resolving host name "Nombre_Servidor_FTP"
    [15:21:35] Connecting to 95.211.111.xxx Port: 21
    [15:21:35] Connected to Nombre_Servidor_FTP.
    [15:21:35] 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
    [15:21:35] 220-You are user number 1 of 5 allowed.
    [15:21:35] 220-Local time is now 15:21. Server port: 21.
    [15:21:35] 220-This is a private system - No anonymous login
    [15:21:35] 220 You will be disconnected after 15 minutes of inactivity.
    [15:21:35] AUTH TLS
    [15:21:35] 234 AUTH TLS OK.
    [15:21:36] TLS 1.0 encrypted session established.
    [15:21:36] Key Exchange: 2048 bit RSA
    [15:21:36] Session Cipher: 128 bit RC4
    [15:21:36] Command channel protection set to Private.
    [15:21:36] PBSZ 0
    [15:21:36] 200 PBSZ=0
    [15:21:36] USER Nombre_usuario_FTP
    [15:21:36] 331 User Nombre_usuario_FTP OK. Password required
    [15:21:36] PASS (hidden)
    [15:21:36] 230 OK. Current restricted directory is /
    [15:21:36] SYST
    [15:21:36] 215 UNIX Type: L8
    [15:21:36] Detected Server Type: UNIX
    [15:21:36] RTT: 45.631 ms
    [15:21:36] FEAT
    [15:21:36] 211-Extensions supported:
    [15:21:36]  EPRT
    [15:21:36]  IDLE
    [15:21:36]  MDTM
    [15:21:36]  SIZE
    [15:21:36]  MFMT
    [15:21:36]  REST STREAM
    [15:21:36]  MLST
    type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
    [15:21:36]  MLSD
    [15:21:36]  AUTH TLS
    [15:21:36]  PBSZ
    [15:21:36]  PROT
    [15:21:36]  UTF8
    [15:21:36]  ESTA
    [15:21:36]  PASV
    [15:21:36]  EPSV
    [15:21:36]  SPSV
    [15:21:36]  ESTP
    [15:21:36] 211 End.
    [15:21:36] OPTS UTF8 ON
    [15:21:36] 200 OK, UTF-8 enabled
    [15:21:36] PWD
    [15:21:36] 257 "/" is your current location
    [15:21:36] TYPE A
    [15:21:36] 200 TYPE is now ASCII
    [15:21:36] PROT P
    [15:21:36] 200 Data protection level set to "private"
    [15:21:36] PASV
    [15:21:36] 227 Entering Passive Mode (95,211,111,xxx,172,29)
    [15:21:36] Opening data connection to 95.211.111.xxx Port: 44061
    [15:21:36] MLSD
    [15:21:36] 150 Accepted data connection
    [15:21:36] 226-Options: -a -l
    [15:21:36] 226 43 matches total
    [15:21:36] 4629 bytes transferred. (26,4 KB/s) (171 ms)
    [15:21:36] TYPE I
    [15:21:36] 200 TYPE is now 8-bit binary
    [15:21:36] SIZE Control
    [15:21:36] 550 I can only retrieve regular files
    [15:21:36] CWD /Control
    [15:21:37] 250 OK. Current directory is /home/Nombre_Usuario_FTP/www/
    [15:21:37] PWD
    [15:21:37] 257 "/home/Nombre_Usuario_FTP/www" is your current location



    Me he quedado un tanto sorprendido de que FileZilla genere ese error
    y otros no.

    De todas formas, voy a probar con otro programa en mi ordenador a
    ver si lo acepta o genera error.

    Gracias por las respuestas.

    *>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<< *


El 10/04/2014 14:46, Alex ( Servtelecom ) escribió:
> Perdón me he dejado lo de la creación del certificado pem :P
>
> hay una web que te los crea; entra en
> http://www.digicert.com/es/apoyo-tecnico/crear-archivo-pem.htm, pero
> creo que es más idoneo que el que te ha generado los otros certificados
> también te genere el certificado pem ya que si lo haces tu con openssl
> diría que entonces te lo interpretara como auto-firmado
>
> Saludos
>
>
>> hola! los certificados comprados tienen que tenerlos para dominio pero
>> también para los subdominios, si tu tienes como dirección
>> ftp.dominio.com ese certificado .pem tiene que ser para ftp.dominio.com.
>> Tanto los certificados auto-firmados como los comprados se configuran de
>> la misma manera ya que el programa busca un certificado , sea o no
>> auto-firmado, entiendes?
>>
>> yo lo que hago es con proftpd es lo siguiente;
>>
>> mkdir /etc/proftpd/ssl
>>
>> y luego dejo el certificado dentro de esa carpeta y le aplico permisos
>> de chmod, una vez hecho esto abres el fichero /etc/proftpd/tls.conf y
>> modificas las siguientes lineas dejando-las como te las digo yo y
>> variando los nombres por los nombres del certificado por los tuyos
>>
>> ---------------------
>>
>> TLSEngine on
>> TLSLog /var/log/proftpd/tls.log
>> TLSProtocol SSLv23
>> TLSOptions NoCertRequest
>> TLSRSACertificateFile /etc/proftpd/ssl/certificado.cert.pem
>> TLSRSACertificateKeyFile /etc/proftpd/ssl/certificado.key.pem
>> TLSVerifyClient off
>> TLSRequired on
>>
>> -----------
>>
>> Con esto ya tienes el proftpd funcionando, para pure-ftp podrías hacer
>> casi lo mismo;
>>
>>
>> Copias el certificado en /etc/pki/tls/private/ y le asignas chmod 600
>> /etc/pki/tls/private/certificado.pem
>>
>> con esto ya le indicas donde esta el certificado (
>> --with-certfile=/etc/pki/private/certificado.pem ) y haces un reload o
>> reinicias el servicio como más te convenga. Con eso ya tendría que dar
>> certificado valido
>>
>> Espero que te haya servidor :) yo te pongo los dos ejemplos porque a mi
>> personalmente me gusta más el proftpd :)
>>
>>
>> El 10/04/14 13:28, Salvador Guzman - Salman PSL escribió:
>>>        :: Saludos, ya estoy cansado de preguntarle al Sr. Google por el
>>>        tema y no encuentro respuesta, ni siquiera mi emisor de certificados
>>>        SSL, validos para correo y web, no me supo dar indicaciones.
>>>
>>>        Bueno, el caso es que quiero configurar en el servidor un Centos-5.9
>>>        actualizado mediante "yum checkupdate" a diario, el pure-ftp para el
>>>        acceso seguro. El sistema funciona y es operativo, salvo por un
>>>        detalle, cuando te conectas siempre salta el aviso de certificado no
>>>        valido.
>>>
>>>        Y es cierto, el certificado no es valido ya que es autofirmado.
>>>
>>>        En todos los ejemplos que he visto por la red, siempre hablan de
>>>        certificados autofirmados, en ningun caso hablan de certificados
>>>        validos "comprados".
>>>
>>>        La razon de quererlo asi es que no da muy buena imagen que un
>>>        cliente vaya a subir su pagina y le salte el aviso de certificado no
>>>        valido.
>>>
>>>        Mi emisor de certificados, me ha emitido un certificado de pruebas,
>>>        con lo que ahora tengo:
>>>
>>>        certificado.key
>>>        certificado.csr
>>>        certificado.crt
>>>        certificado.ca-boundle
>>>
>>>        Y ahora es donde en ningun sitio explican como generar un
>>>        "certificado.pem" que es lo que utiliza el pure-ftp
>>>
>>>        En teoria seria un fichero que incluyese certificado.key y
>>>        certificado.crt e incluso le he añadido el certificado.ca-boundle,
>>>        pero no lo reconoce :(
>>>
>>>        ¿ Alguna guia o sugerencia ?
>>>
>>>        Gracias anticipadas.
>>>
>>>        *>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<< *
>>>
>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>