こんにちわ
先日、ProFTPD/TLSについてメールにて質問させていただきました。
一応動作したので報告します。
結論からいうと、WindowsXPの問題だった模様です。
Windows Meの環境を用意してSmartFTPで接続したところ同じ設定で問題なく
接続できました。
まだ、WindowsXP環境からSSL接続ができないので本当は何が悪いのかは
なんともいえませんが解決の方向性は見えてきたような気がします。
多分、SmartFTPで使用されてるIE6.0のschannel.dll周りの問題のような
気がしてます。
というわけで、ProFTPD/TLSとサーバ証明書の設定に関しては問題なし
ということで結論付けました。
また、何かわかりましたら報告させていただきます。
情報共有ということで以下に最初に質問した内容を掲載しておきます。
----↓-----------------------------------------------------------↓----
貴HPを参考とさせて頂いて、ProFTPD で mod_tls を組み込んでセキュア通信の
可能な FTP サーバを構築しようとしています。
mod_ldap を組み込み、RPM を作成してインストールを行う以外は貴HPに掲載
されている内容と同じように設定してみました。
また、サーバ証明についても自己署名の証明書を貴HPに掲載されている手順で
作成してみました。
結果として GetIt! でも SmartFTP でもアクセスできない状態となっています。
色々と手を尽くしてみましたがハマッてしまってお手上げ状態となってしまい
ました。
そこで、何か参考となることがないかお知恵を拝借したくメール致します。
lftp のログあたりから証明書の問題かとは思うんですが。。。
念のため、TLSCACertificateFile に ca.crt を設定したログも追記してます。
※ GetIt! のログは以下で止まってしまいます。
10:24:49 <-- 220 ProFTPD 1.2.9rc3 Server ready.
10:24:49 --> AUTH SSL
10:24:49 <-- 234 AUTH SSL successful
10:24:49 --> PBSZ 0
※ SmartFTP のログは以下で止まります。
[10:34:44] Connecting to (ftp.ks-sys.jp) -> IP: 202.224.220.150 PORT: 21
[10:34:44] Connected to (ftp.ks-sys.jp) -> Time = 90ms
[10:34:44] Socket connected waiting for login sequence.
[10:34:45] 220 ProFTPD 1.2.9rc3 Server ready.
[10:34:45] AUTH TLS
[10:34:45] 234 AUTH TLS successful
[10:34:45] Connected. Exchanging encryption keys...
[10:35:15] SSL Error
[10:35:15] この操作を正しく終了しました。
[10:35:15] Cannot login waiting to retry (30s)...
※ lftp (linux上から) のログです。
lftp :~> debug 9
lftp :~> open ftp.ks-sys.jp
---- ホストアドレスを解決しています...
---- 1 個のアドレスが見つかりました
lftp ftp.ks-sys.jp:~> user gai
パスワード:
lftp gai@ftp.ks-sys.jp:~> ls
---- ftp.ks-sys.jp (202.224.220.150) ポート 21 に接続中
<--- 220 ProFTPD 1.2.9rc3 Server ready.
---> AUTH TLS
<--- 234 AUTH TLS successful
Certificate depth: 0; subject: /C=JP/ST=Okayama/L=Okayama/O=TLS Test/OU=Admin/CN=ftp.ks-sys.jp/emailAddress=gai@ks-sys.jp; issuer: /C=JP/ST=Okayama/L=Okayama/O=Private_CA/OU=Admin/CN=ns.ks-sys.jp/emailAddress=gai@ks-sys.jp
ERROR: Certificate verification: unable to get local issuer certificate
Certificate depth: 0; subject: /C=JP/ST=Okayama/L=Okayama/O=K's System/OU=Admin/CN=ftp.ks-sys.jp/emailAddress=gai@ks-sys.jp; issuer: /C=JP/ST=Okayama/L=Okayama/O=Private_CA/OU=Admin/CN=ns.ks-sys.jp/emailAddress=gai@ks-sys.jp
ERROR: Certificate verification: unable to get local issuer certificate
---- コントロールソケットを閉じています
ls: 致命的エラー: SSL connect: unable to get local issuer certificate
※ proftpd.conf の tls 設定内容です。
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
TLSRequired off
TLSRSACertificateFile /etc/proftpd/server.crt
TLSRSACertificateKeyFile /etc/proftpd/server.key
TLSVerifyClient off
</IfModule>
※ 一応、TLSCACertificateFile /etc/proftpd/ca.crt を設定してみたときのログです
lftp :~> debug 9
lftp :~> open ftp.ks-sys.jp
---- ホストアドレスを解決しています...
---- 1 個のアドレスが見つかりました
lftp ftp.ks-sys.jp:~> user gai
パスワード:
lftp gai@ftp.ks-sys.jp:~> ls
---- ftp.ks-sys.jp (202.224.220.150) ポート 21 に接続中
<--- 220 ProFTPD 1.2.9rc3 Server ready.
---> AUTH TLS
<--- 234 AUTH TLS successful
Certificate depth: 1; subject: /C=JP/ST=Okayama/L=Okayama/O=Private_CA/OU=Admin/CN=ns.ks-sys.jp/emailAddress=gai@ks-sys.jp; issuer: /C=JP/ST=Okayama/L=Okayama/O=Private_CA/OU=Admin/CN=ns.ks-sys.jp/emailAddress=gai@ks-sys.jp
ERROR: Certificate verification: self signed certificate in certificate chain
Certificate depth: 1; subject: /C=JP/ST=Okayama/L=Okayama/O=Private_CA/OU=Admin/CN=ns.ks-sys.jp/emailAddress=gai@ks-sys.jp; issuer: /C=JP/ST=Okayama/L=Okayama/O=Private_CA/OU=Admin/CN=ns.ks-sys.jp/emailAddress=gai@ks-sys.jp
ERROR: Certificate verification: self signed certificate in certificate chain
---- コントロールソケットを閉じています
ls: 致命的エラー: SSL connect: self signed certificate in certificate chain
こんばんわ
この件について原因が判明しました。
わたしのWindowsXPの環境にはウイルスバスターをインストールしているのですが
それが原因だったようです。
試しにウイルスバスターをアンインストールしたところ問題なくSSLでProFTPD/TLS
サーバへ接続できました。
でも、ウイルス対策ソフトを外した状態でクライアントを運用するわけにはいかないので
どうするか対策を講じなければならないようですね。