[CentOS-es] Certificado valido para Pure-FTP
Salvador Guzman - Salman PSL
ListasCorreo en salman.net
Mar Abr 22 18:29:23 UTC 2014
:: Si, compre un certificado para cada servidor, yo trabajo con
GlobeSSL
Yo segui estas guias:
http://www.howtoforge.com/forums/showthread.php?t=41883
http://wiki.ggis.biz/index.php/Pure-FTPd_on_Ubuntu
Y para el pureftp.pem :
cat certificado.key > pureftp.pem
cat certificado.crt >> pureftp.pem
cat certificado.ca >> pureftp.pem
Hay programas que lo reconocen sin problemas y otros como el
FileZilla que dan un aviso, pero como el certificado es valido, no
me preocupa.
*>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<< *
El 22/04/2014 18:52, Sergio Villalba escribió:
> Hola a tod en s,
>
> ¿al final has podido implementarlo?
> ¿que parámetros has indicado en el fichero pure-ftpd.conf?
>
> Estoy en tu mismo tesitura, quiero implementar Pure-Ftpd con Geotrust pero
> no encuentro la manera.
>
> Gracias por cualquier información
>
> Saludos,
> Sergio.
>
>
>
> El 10 de abril de 2014, 17:04, Alex ( Servtelecom ) <
> alex.andreu en servtelecom.com> escribió:
>
>> te recomiendo proftpd :) y ya te he pasado las configuraciones en el
>> correo anterior. Yo hace años que lo utilizo sin problemas!
>>
>> El 10/04/14 16:30, Salvador Guzman - Salman PSL escribió:
>>> :: Acabo de hacer una prueba con GoFTP y tampoco genera errores.
>>>
>>> Me resulta extrañisimo que FileZilla genere un error de algo que es
>>> correcto.
>>>
>>> Probare a instalar otro servidor distinto a pure-ftp pero me
>>> fastidiaria, pues es muy sencillo de instalar y de mantener con
>>> mucha seguridad.
>>>
>>>
>>> *>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<< *
>>>
>>>
>>> El 10/04/2014 16:19, Alex ( Servtelecom ) escribió:
>>>> yo siempre uso el gftp que me va muy bien y sin problemas jejeje! :)
>>>>
>>>> Lo que ahora tendrias que mirar que servidor FTP es el que se adapta
>>>> mejor a filezilla ya que ese cliente de ftp lo utiliza mucha gente :)
>>>>
>>>> Saludos
>>>>
>>>> El 10/04/14 15:43, Salvador Guzman - Salman PSL escribió:
>>>>> :: Pues despues de leer la pagina que me indicas y hacer lo que
>> van
>>>>> explicando, y que de hecho ya habia yo intentado, se me
>> encendio una
>>>>> lucecita, y pense ...
>>>>>
>>>>> ¿ Y si la culpa no es del pure-ftp sino del FileZilla ?
>>>>>
>>>>> Instale el primer programa de FTP que me mostro el Sr. Google y
>> ...
>>>>> sorpresa, no dio ningun mensaje de aviso, se conecto a la
>> primera
>>>>> sin mayor problema.
>>>>>
>>>>> Aqui teneis el "dialogo" de la conexion:
>>>>>
>>>>> [15:21:35] SmartFTP v5.0.1354.0
>>>>> [15:21:35] Resolving host name "Nombre_Servidor_FTP"
>>>>> [15:21:35] Connecting to 95.211.111.xxx Port: 21
>>>>> [15:21:35] Connected to Nombre_Servidor_FTP.
>>>>> [15:21:35] 220---------- Welcome to Pure-FTPd [privsep] [TLS]
>> ----------
>>>>> [15:21:35] 220-You are user number 1 of 5 allowed.
>>>>> [15:21:35] 220-Local time is now 15:21. Server port: 21.
>>>>> [15:21:35] 220-This is a private system - No anonymous login
>>>>> [15:21:35] 220 You will be disconnected after 15 minutes of
>> inactivity.
>>>>> [15:21:35] AUTH TLS
>>>>> [15:21:35] 234 AUTH TLS OK.
>>>>> [15:21:36] TLS 1.0 encrypted session established.
>>>>> [15:21:36] Key Exchange: 2048 bit RSA
>>>>> [15:21:36] Session Cipher: 128 bit RC4
>>>>> [15:21:36] Command channel protection set to Private.
>>>>> [15:21:36] PBSZ 0
>>>>> [15:21:36] 200 PBSZ=0
>>>>> [15:21:36] USER Nombre_usuario_FTP
>>>>> [15:21:36] 331 User Nombre_usuario_FTP OK. Password required
>>>>> [15:21:36] PASS (hidden)
>>>>> [15:21:36] 230 OK. Current restricted directory is /
>>>>> [15:21:36] SYST
>>>>> [15:21:36] 215 UNIX Type: L8
>>>>> [15:21:36] Detected Server Type: UNIX
>>>>> [15:21:36] RTT: 45.631 ms
>>>>> [15:21:36] FEAT
>>>>> [15:21:36] 211-Extensions supported:
>>>>> [15:21:36] EPRT
>>>>> [15:21:36] IDLE
>>>>> [15:21:36] MDTM
>>>>> [15:21:36] SIZE
>>>>> [15:21:36] MFMT
>>>>> [15:21:36] REST STREAM
>>>>> [15:21:36] MLST
>>>>>
>> type*;size*;sizd*;modify*;UNIX.mode*;UNIX.uid*;UNIX.gid*;unique*;
>>>>> [15:21:36] MLSD
>>>>> [15:21:36] AUTH TLS
>>>>> [15:21:36] PBSZ
>>>>> [15:21:36] PROT
>>>>> [15:21:36] UTF8
>>>>> [15:21:36] ESTA
>>>>> [15:21:36] PASV
>>>>> [15:21:36] EPSV
>>>>> [15:21:36] SPSV
>>>>> [15:21:36] ESTP
>>>>> [15:21:36] 211 End.
>>>>> [15:21:36] OPTS UTF8 ON
>>>>> [15:21:36] 200 OK, UTF-8 enabled
>>>>> [15:21:36] PWD
>>>>> [15:21:36] 257 "/" is your current location
>>>>> [15:21:36] TYPE A
>>>>> [15:21:36] 200 TYPE is now ASCII
>>>>> [15:21:36] PROT P
>>>>> [15:21:36] 200 Data protection level set to "private"
>>>>> [15:21:36] PASV
>>>>> [15:21:36] 227 Entering Passive Mode (95,211,111,xxx,172,29)
>>>>> [15:21:36] Opening data connection to 95.211.111.xxx Port: 44061
>>>>> [15:21:36] MLSD
>>>>> [15:21:36] 150 Accepted data connection
>>>>> [15:21:36] 226-Options: -a -l
>>>>> [15:21:36] 226 43 matches total
>>>>> [15:21:36] 4629 bytes transferred. (26,4 KB/s) (171 ms)
>>>>> [15:21:36] TYPE I
>>>>> [15:21:36] 200 TYPE is now 8-bit binary
>>>>> [15:21:36] SIZE Control
>>>>> [15:21:36] 550 I can only retrieve regular files
>>>>> [15:21:36] CWD /Control
>>>>> [15:21:37] 250 OK. Current directory is
>> /home/Nombre_Usuario_FTP/www/
>>>>> [15:21:37] PWD
>>>>> [15:21:37] 257 "/home/Nombre_Usuario_FTP/www" is your current
>> location
>>>>>
>>>>> Me he quedado un tanto sorprendido de que FileZilla genere ese
>> error
>>>>> y otros no.
>>>>>
>>>>> De todas formas, voy a probar con otro programa en mi ordenador
>> a
>>>>> ver si lo acepta o genera error.
>>>>>
>>>>> Gracias por las respuestas.
>>>>>
>>>>> *>>>>>>>>>>>>>> ******* Fin del mensaje ******* <<<<<<<<<<<<<< *
>>>>>
>>>>>
>>>>> El 10/04/2014 14:46, Alex ( Servtelecom ) escribió:
>>>>>> Perdón me he dejado lo de la creación del certificado pem :P
>>>>>>
>>>>>> hay una web que te los crea; entra en
>>>>>> http://www.digicert.com/es/apoyo-tecnico/crear-archivo-pem.htm, pero
>>>>>> creo que es más idoneo que el que te ha generado los otros
>> certificados
>>>>>> también te genere el certificado pem ya que si lo haces tu con openssl
>>>>>> diría que entonces te lo interpretara como auto-firmado
>>>>>>
>>>>>> Saludos
>>>>>>
>>>>>>
>>>>>>> hola! los certificados comprados tienen que tenerlos para dominio
>> pero
>>>>>>> también para los subdominios, si tu tienes como dirección
>>>>>>> ftp.dominio.com ese certificado .pem tiene que ser para
>> ftp.dominio.com.
>>>>>>> Tanto los certificados auto-firmados como los comprados se
>> configuran de
>>>>>>> la misma manera ya que el programa busca un certificado , sea o no
>>>>>>> auto-firmado, entiendes?
>>>>>>>
>>>>>>> yo lo que hago es con proftpd es lo siguiente;
>>>>>>>
>>>>>>> mkdir /etc/proftpd/ssl
>>>>>>>
>>>>>>> y luego dejo el certificado dentro de esa carpeta y le aplico
>> permisos
>>>>>>> de chmod, una vez hecho esto abres el fichero /etc/proftpd/tls.conf y
>>>>>>> modificas las siguientes lineas dejando-las como te las digo yo y
>>>>>>> variando los nombres por los nombres del certificado por los tuyos
>>>>>>>
>>>>>>> ---------------------
>>>>>>>
>>>>>>> TLSEngine on
>>>>>>> TLSLog /var/log/proftpd/tls.log
>>>>>>> TLSProtocol SSLv23
>>>>>>> TLSOptions NoCertRequest
>>>>>>> TLSRSACertificateFile /etc/proftpd/ssl/certificado.cert.pem
>>>>>>> TLSRSACertificateKeyFile /etc/proftpd/ssl/certificado.key.pem
>>>>>>> TLSVerifyClient off
>>>>>>> TLSRequired on
>>>>>>>
>>>>>>> -----------
>>>>>>>
>>>>>>> Con esto ya tienes el proftpd funcionando, para pure-ftp podrías
>> hacer
>>>>>>> casi lo mismo;
>>>>>>>
>>>>>>>
>>>>>>> Copias el certificado en /etc/pki/tls/private/ y le asignas chmod 600
>>>>>>> /etc/pki/tls/private/certificado.pem
>>>>>>>
>>>>>>> con esto ya le indicas donde esta el certificado (
>>>>>>> --with-certfile=/etc/pki/private/certificado.pem ) y haces un reload
>> o
>>>>>>> reinicias el servicio como más te convenga. Con eso ya tendría que
>> dar
>>>>>>> certificado valido
>>>>>>>
>>>>>>> Espero que te haya servidor :) yo te pongo los dos ejemplos porque a
>> mi
>>>>>>> personalmente me gusta más el proftpd :)
>>>>>>>
>>>>>>>
>>>>>>> El 10/04/14 13:28, Salvador Guzman - Salman PSL escribió:
>>>>>>>> :: Saludos, ya estoy cansado de preguntarle al Sr. Google
>> por el
>>>>>>>> tema y no encuentro respuesta, ni siquiera mi emisor de
>> certificados
>>>>>>>> SSL, validos para correo y web, no me supo dar
>> indicaciones.
>>>>>>>> Bueno, el caso es que quiero configurar en el servidor un
>> Centos-5.9
>>>>>>>> actualizado mediante "yum checkupdate" a diario, el
>> pure-ftp para el
>>>>>>>> acceso seguro. El sistema funciona y es operativo, salvo
>> por un
>>>>>>>> detalle, cuando te conectas siempre salta el aviso de
>> certificado no
>>>>>>>> valido.
>>>>>>>>
>>>>>>>> Y es cierto, el certificado no es valido ya que es
>> autofirmado.
>>>>>>>> En todos los ejemplos que he visto por la red, siempre
>> hablan de
>>>>>>>> certificados autofirmados, en ningun caso hablan de
>> certificados
>>>>>>>> validos "comprados".
>>>>>>>>
>>>>>>>> La razon de quererlo asi es que no da muy buena imagen
>> que un
>>>>>>>> cliente vaya a subir su pagina y le salte el aviso de
>> certificado no
>>>>>>>> valido.
>>>>>>>>
>>>>>>>> Mi emisor de certificados, me ha emitido un certificado
>> de pruebas,
>>>>>>>> con lo que ahora tengo:
>>>>>>>>
>>>>>>>> certificado.key
>>>>>>>> certificado.csr
>>>>>>>> certificado.crt
>>>>>>>> certificado.ca-boundle
>>>>>>>>
>>>>>>>> Y ahora es donde en ningun sitio explican como generar un
>>>>>>>> "certificado.pem" que es lo que utiliza el pure-ftp
>>>>>>>>
>>>>>>>> En teoria seria un fichero que incluyese certificado.key y
>>>>>>>> certificado.crt e incluso le he añadido el
>> certificado.ca-boundle,
>>>>>>>> pero no lo reconoce :(
>>>>>>>>
>>>>>>>> ¿ Alguna guia o sugerencia ?
>>>>>>>>
>>>>>>>> Gracias anticipadas.
>>>>>>>>
>>>>>>>> *>>>>>>>>>>>>>> ******* Fin del mensaje *******
>> <<<<<<<<<<<<<< *
>>>>>>>> _______________________________________________
>>>>>>>> CentOS-es mailing list
>>>>>>>> CentOS-es en centos.org
>>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>> _______________________________________________
>>>>>>> CentOS-es mailing list
>>>>>>> CentOS-es en centos.org
>>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>> _______________________________________________
>>>>>> CentOS-es mailing list
>>>>>> CentOS-es en centos.org
>>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>>>
>>>>> _______________________________________________
>>>>> CentOS-es mailing list
>>>>> CentOS-es en centos.org
>>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>> _______________________________________________
>>>> CentOS-es mailing list
>>>> CentOS-es en centos.org
>>>> http://lists.centos.org/mailman/listinfo/centos-es
>>>>
>>> _______________________________________________
>>> CentOS-es mailing list
>>> CentOS-es en centos.org
>>> http://lists.centos.org/mailman/listinfo/centos-es
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
Más información sobre la lista de distribución CentOS-es