PDA

View Full Version : [german] Probleme mit ssl


Mr_Wanton_2
02-08-2005, 11:06 AM
Hallo,
habe probs mit dem Aufschalten von ssl. habe schon mitbekommen, daß ssl nur mit einer registrierten Version läuft. wenn ich mir aus dem memberbereich nur die ioFTPD exe sauge und diese austausche, habe ich doch eine registrierte version, oder?
Trotzdem ich mich hier schon durch die posts gearbeitet habe und mich an die anleitungen gehalten habe, hab ich immer noch ein prob mit dem connecten.

### Encryption ###
#
Require_Encrypted_Auth = *
Require_Encrypted_Data = !*
Certificate_Name = ioftpd
Explicit_Encryption = True
Encryption_Protocol = SSL3
Min_Cipher_Strength = 128
Max_Cipher_Strength = 128

ich kann trotz dieser einstellungen nur ohne ssl auf meinem Server connecten.
Bei dem versuch mit ssl auf den server zu connecten, bekomme ich immer diese Fehlermeldung:

220 FTP Server ready.
AUTH SSL
504 AUTH %s unsupported.

was ist da falsch?
BITTE DENKT DARAN; ICH BIN NOCH EIN NEWBIE

wrycat_2
02-08-2005, 11:09 AM
Hi

Stell mal als:
Encryption_Protocol = TLS1
ein und schalte deinen FTP Klienten auf AUTH TLS!

Mr_Wanton_2
02-08-2005, 11:27 AM
220 FTP Server ready.
AUTH TLS
504 AUTH %s unsupported.
Failed SSL/TLS negotiation, disconnected
Connection failed (Connection lost)

ich kann immer nur ohne ssl connecten. ich zweifle langsam daran, daß ich ne registrierte version habe

Guardian
02-08-2005, 12:38 PM
hast dir denn ein gültiges ssl certificate mit namen "ioftpd" erstellt ? ... falls nicht, dl dir das makecert

Mr_Wanton_2
02-08-2005, 02:45 PM
das hab ich alles schon mit makecert gemacht

Guardian
02-08-2005, 03:09 PM
ftp client auf Auth SSL einstellen (sofern der client denn ssl unterstützt, was er dem anschein nach nicht kann) ... TLS wird mit SSL3 nicht funzen


Require_Encrypted_Auth = !=sitebot *
Require_Encrypted_Data = !*
Certificate_Name = greyskull
Explicit_Encryption = True
Encryption_Protocol = SSL3
Min_Cipher_Strength = 168
Max_Cipher_Strength = 512


so sieht's hier aus ... sitebot excluded, und user connecten via auth ssl

Mr_Wanton_2
02-08-2005, 05:10 PM
Also, Flashfxp kann das. Werd morgen mal deinen Tip probieren
edit:
Aber wieso kann ich trotzdem immernoch ohne ssl connecten, wo ssl doch eingestellt ist?

wrycat_2
02-08-2005, 06:26 PM
Originally posted by Mr_Wanton

Aber wieso kann ich trotzdem immernoch ohne ssl connecten, wo ssl doch eingestellt ist?
Require_Encrypted_Data = !* // Bedeutet: Verlange_verschlüsselung = für alle (*) nicht (!)
was du meinst ist:
Require_Encrypted_Data = *

Zu dem Problem mit dem SSL:
hast du mal überprüft ob das Zertifikat auch unter den "Vertrauenswürdigen Stammzertifizierungsstellen" geladen ist? Wenn nicht musst du es importieren. Dazu benutzt man die certmgr.exe

Mr_Wanton_2
02-09-2005, 03:47 AM
hab nochmal ein neues Zertifikat erstellt, um auszuschließen das mir ein Fehler unterlaufen ist. Das Zertifikat ist auch in Vertrauenswürdigen Stammzertifizierungsstellen geladen. Meine ini sieht jetzt so aus:

### Encryption ###
#
Require_Encrypted_Auth = *
Require_Encrypted_Data = *
Certificate_Name = fps
Explicit_Encryption = True
Encryption_Protocol = SSL3
Min_Cipher_Strength = 128
Max_Cipher_Strength = 128

und es interessiert ioFTPD nicht, was in der ini steht. Ich kann nur ohne ssl auf meinen Server connecten. Kann es sein, daß ich keine registrierte version habe? Habe mir aber aus dem Memberbereich die exe gezogen und bei mir ausgetauscht.
Oder liegt es daran, das bei "Angezeigter Name" für das Zertifikat "<kein>" steht. Nicht das das der Certificate_Name ist, dann könnte es ja nicht funzen.

wrycat_2
02-09-2005, 08:39 AM
Originally posted by Mr_Wanton
Certificate_Name = fps

Warum glaubst du steht in der config der Name? Wenn dein Zertifikat anders heißt oder keinen Namen hat wie soll ioFTPD dann das Zertifikat laden?

Ausserdem: warum willst du alle zwingen mit Verschlüsselung zu verbinden? reicht es Dir nicht das optional anzubieten, vor allem solange die Verschlüsselung nicht einwandfrei funktioniert? Im schlimmsten Fall schließt du dich am Ende noch selber aus deinem FTP aus. das "!*" heißt ja nicht dass keiner per ssl verbinden kann sonder dass es keiner muss.

Mr_Wanton_2
02-09-2005, 11:12 AM
Warum glaubst du steht in der config der Name?
der certificate_name hat aber nix mit dem angezeigten namen zu tun. das hab ich nach langem surfen entdeckt. Nur es ändert nix an der tatsache, das ich trotz meiner einstellungen in der ini nur ohne ssl auf meinen server connecten kann und das dürfte er eigentlich gar nicht mehr zulassen. solange ich dieses problem nicht irgendwie gelöst habe, lohnt es sich für mich nicht weiter zu machen. wenn mir jemand bei diesem problem helfen könnte wär ich erstmal seeeehr dankbar

Master Sammy
02-09-2005, 11:26 AM
Ich habe das so bei mir und das lauft 1a

Require_Encrypted_Auth = =Gruppe1 =Gruppe2 =Gruppe3 =Gruppe4 =Gruppe5 =Gruppe6 !*
Require_Encrypted_Data = !*
Certificate_Name = FTPSERVER
Explicit_Encryption = True
Encryption_Protocol = TLS3
Min_Cipher_Strength = 128
Max_Cipher_Strength = 256

alle grupen die oben drin stehen kommen nur mit ssl drauf, Sitebot und admin habe ich da nicht drin weil der sitebot kann leider kein ssl bei mir und admin kann noch mit iogui drauf ;-)

Mr_Wanton_2
02-09-2005, 12:13 PM
ersteinmal:
ich finde es unheimlich klasse wie schnell einem versucht wird hier zu helfen.

nun zum Problem. eure beispiele bringen bei mir leider nix, da bei mir ioftpd scheinbar die einträge in der ini ignoriert.
Require_Encrypted_Auth = *
Require_Encrypted_Data = *
heißt für mich, daß eine connection ohne ssl gar nicht erst zugelassen wird. Oder liege ich da falsch?
Aber ich kann trotzdem nur ohne ssl connecten. beim versuch mit ssl zu connecten bekomme ich immer:
220 FTP Server ready.
AUTH SSL
504 AUTH %s unsupported.
Failed SSL/TLS negotiation, disconnected
Connection failed (Connection lost)

Master Sammy
02-09-2005, 02:04 PM
dann pass mal deine gruppen an weil alle gruppen die nicht drin stehen kommen ohne ssl drauf alle gruppen die drin stehen kommen nur mit ssl drauf

Und dein ssl muss auch richtig inst sein dann lauft das auch ohne fehler

wrycat_2
02-09-2005, 03:23 PM
Hi.
Sorry das mit dem Zertifikatsnamen hatte ich falsch verstanden. Der friendly Name ist wirklich egal.

Was auf jeden Fall essentiell ist:
wenn du die certmgr.exe aufrufst, dann siehst du ja dein Zertifikat in der Liste, die erste Spalte "Issued To" oder deutsch irgendwas wie "ausgestellt für" da steht ein Namen. Es ist UNBEDINGT nötig dass dieser Name entweder:
1) der Rechnername dieses PCs ist (Netzwerkeinstellungen)
oder
2) die DynDNS Domain an die du deine öffentliche IP binden lässt (also irgendwas wie "meinName.ath.cx"
oder
3) die IP deiner Netzwerkarte
ist.
wenn du nen anderen Namen hast funzt es nicht. Das zertifikat muss zu einer IP deines Rechners passen.

Grendel
02-09-2005, 04:10 PM
Nicht lange rummachen...

Nimm als Zertifikatsnamen einfach localhost.
Damit sollte es auf jedenfall immer gehen ;)

Damit funktioniert SSL auch wenn mehrere Netzwerkkarten
im System sind und wenn sich IP-Adressen ect. ändern sollten.


Require_Encrypted_Auth = !*
Require_Encrypted_Data = !*
Certificate_Name = localhost
Explicit_Encryption = True
Encryption_Protocol = SSL3
Min_Cipher_Strength = 128
Max_Cipher_Strength = 256

Master Sammy
02-09-2005, 04:47 PM
Originally posted by Grendel
Nicht lange rummachen...

Nimm als Zertifikatsnamen einfach localhost.
Damit sollte es auf jedenfall immer gehen ;)

Damit funktioniert SSL auch wenn mehrere Netzwerkkarten
im System sind und wenn sich IP-Adressen ect. ändern sollten.


Require_Encrypted_Auth = !*
Require_Encrypted_Data = !*
Certificate_Name = localhost
Explicit_Encryption = True
Encryption_Protocol = SSL3
Min_Cipher_Strength = 128
Max_Cipher_Strength = 256


So lauft aber beides!
Also kann man mit SSL und ohne ssl drauf

Require_Encrypted_Auth = !*
^^ da müssen die user oder Grupen eingetragen werde die nur über ssl drauf können

wrycat_2
02-09-2005, 08:34 PM
Require_Encrypted_Auth = *
Require_Encrypted_Data = *
Keine gute idee. Da wird bei einigen Servern FXP nicht mehr gehen.
wenn es unbedingt sein muss dass leute gezwungen werden SSL zu benutzen dann mach es so:
Require_Encrypted_Auth = !M *
// alle müssen mit SSL verbinden ausser dem Siteadmin. Der Vorteil ist dass beim uploaden im Lan die Verschlüsselung ordentlich brenst und CPU Last erzeugt und du mit dieser Einstellung lokal ohne SSL einloggen kannst
Require_Encrypted_Data = !*
// Wie gesagt verschlüsselung ist schön aber wenn FXP nicht mehr geht ... muss jeder selbst wissen. wenn du FXP nicht benötigst dann mach dort eben auch !M *
@grendel: localhost? bahh igitt schüttel :p

r3flux
02-10-2005, 04:01 AM
Originally posted by wrycat
Require_Encrypted_Auth = !M *
// alle müssen mit SSL verbinden ausser dem Siteadmin. Der Vorteil ist dass beim uploaden im Lan die Verschlüsselung ordentlich brenst und CPU Last erzeugt und du mit dieser Einstellung lokal ohne SSL einloggen kannst
Require_Encrypted_Data = !*
// Wie gesagt verschlüsselung ist schön aber wenn FXP nicht mehr geht ... muss jeder selbst wissen. wenn du FXP nicht benötigst dann mach dort eben auch !M *

Ne alternative Möglichkeit wäre hier auch noch, ein eigenes Flag für SSL-Benutzer anzulegen:

Require_Encrypted_Auth = S !*
Require_Encrypted_Data = S !*

Auf deutsch:

Alle User, die das Flag "S" haben, müssen über SSL connecten, alle anderen nicht.

Dann noch dem entsprechenden Usern in der jeweiligen Userdatei

flags 3S

angeben. So musste nicht deine ganzen User bzw Gruppen in die Ini hauen, sondern kannst alles bequem über site und/oder gui ändern.

Ach ja, und zum Thema: "eure beispiele bringen bei mir leider nix, da bei mir ioftpd scheinbar die einträge in der ini ignoriert."

immer schon n rehash machen ne?! ;)

:)

Mr_Wanton_2
02-10-2005, 06:56 AM
Es ist zum Verzweifeln. Ich habe jeden Tip von Euch ausprobiert. Immer dasselbe Ergebnis:
220 FTP Server ready.
AUTH SSL
504 AUTH %s unsupported.
Hab ich noch irgendwo anders in der ini Einstellungen zu machen, damit ssl funzt?

wrycat_2
02-10-2005, 01:25 PM
Ich bin mir recht sicher dass es absolut nichts mit der Konfiguration zu tun hat sondern mit dem Zertifikat.
Denn ich habe heute damit an meiner Installation rumgespielt und hatte eine Zeit lang die selbe Fehlermeldung. Bei mir wurde der Fehler daduch verursacht, dass ich 2 \cert Verzeichnisse hatte, eines unter c:\ und eines unter e:\

Ich wette du hast irgendwo einfach nen Fehler gemacht. Darum die Schritte nochmal alle von Vorne:

Da du jetzt schon ne Weile Zertifikate generierst und rumbastelst räumst du als allererstes gründlich auf.

Starte die certmgr.exe. Lösche deine Zertifikate und die Selben Zertifikate die sich in den Vertrauenswürdigen Zertifizerungsstellen befinden.
Lösche ALLE \cert Ordner die du auf deinen Platte in der Zeit angelegt hast. Alle alten Zertifikate müssen weg.
---
So. Neuanfang:

1) entpacke den cert Ordner nach C:\cert
2) starte die rsa_keygen.bat Datei. Gib dort entweder deinen DynDNS hostnamen, deinen Rechnernamen, die RechnerIP oder localhost ein.
3) Starte die certmgr.exe und sieh nach ob dein Zertifikat auch in den "Vertrauenswürdigen Zertifizierungsstellen" installiert ist. Falls nicht importiere es indem du das ioftpd.cer in c:\cert doppelklickst und installieren wählst. Wähle den Speicherort ("Vertrauenswürdigen Zertifizierungsstellen") selber!
4) prüfe dass unterCertificate_Name = "siehe 2)" exakt das selbe steht das du unter 2) eingegeben hast.
5) Starte ioFTPD neu.

Wenn es jetzt nicht funktioniert ist dir nicht zu helfen, dann hakt es ganz gehörig an anderer Stelle.

Viel Glück

Mr_Wanton_2
02-10-2005, 03:29 PM
Ich geb es auf. Ich komm nicht mehr weiter. Ich frage mich nur, wie "normale" User sich bei diesen Einstellungen:
Require_Encrypted_Auth = !M *
Require_Encrypted_Data = !M *
ohne ssl einloggen können und mit ssl kommt die altbekannte Fehlermeldung.
@wrycat:
thx für deine bemühungen, hab es auch mit deiner anleitung versucht aber immer der selbe kack. ich verstehe es einfach nicht mehr und ich hab bis jetzt eigentlich alles an den start bekommen. Falls noch jemand ne idee hat, wäre ich trotzdem dankbar. nur hab ich fast alles zum thema ssl gelesen. jetzt weiß ich auch nicht mehr weiter

wrycat_2
02-10-2005, 04:15 PM
Nimms bitte nicht persönlich, aber ich hab den Eindruck dass überhaupt nichts verstehst.
Irgendwas stimmt mit der Art und Weise oder der Betriebssystemumgebung nicht in der sich dein Zertifikat befindet. ioFTPD kann daher das Zertifikat nicht laden was dazu führt dass er alle Einstellungen bezüglich TLS/SSL verwirft und so arbeitet als ob kein Zertifikat installiert wäre. Ein Fallbackverhalten und ein prima Feature, denn stell dir mal vor du versaust die Zertifikatsinstallation und nacher geht garnix mehr?
Die Einstellungen an denen du Dich immer aufhängst kannst du erstmal vergessen, konzentrier dich mal aufs Problem.
Die Fehlermeldung die Du immer hast sagt einfach und klar: Ich versteh kein SSL/TLS Verbindung beendet. Wie soll er auch ohne Zertifikat.

BTW da fällt mir noch was ein. Hast du ioFTPD als service installiert?

Mr_Wanton_2
02-10-2005, 05:50 PM
Hast du ioFTPD als service installiert? Nein, das hab ich nicht

edit
Irgendwas stimmt mit der Art und Weise oder der Betriebssystemumgebung nicht in der sich dein Zertifikat befindet. das mag ja sein, aber ich kann nicht mehr machen, als mich an die tut's im Forum halten. Nimms bitte nicht persönlich, aber ich hab den Eindruck dass überhaupt nichts verstehst. ich nehm es nicht persönlich, bin ja froh wenn mir geholfen wird aber verstehen tu ich die sache sehr wohl nur ich weiß nicht wo ich den fehler suchen soll. Aber die Sache mit dem Fallback wußte ich z.B. nicht. das macht einiges klarer

Grendel
02-12-2005, 08:00 AM
1) Bist du dir auch 100% sicher das du die registrierte .EXE benutzt ?

2) wenn es auf diesem Rechner nicht klappt, probier es doch mal alternativ auf einem anderen aus zum Quertest.

Halt die Ohren steif....wird schon werden.

;)

Mr_Wanton_2
02-12-2005, 08:11 AM
Bist du dir auch 100% sicher das du die registrierte .EXE benutzt ? Da bin ich mir 110% ig sicher, da ich die Version aus dem Memberbereich habe.
wenn es auf diesem Rechner nicht klappt, probier es doch mal alternativ auf einem anderen aus zum Quertest. Das hab ich schon. Dasselbe Ergebnis.
Ich glaube mehr wrycat, dass ich mit der Zertifizierung was falsch mache. Aber was? Ich halte mich strikt an die Tuts.

Grendel
02-12-2005, 08:31 AM
ok , mach mal folgendes...

1)

stoppe mal den ioFTPD (schau bitte im TASMGR nach ob wirklich alles zu ist). Nicht das das Teil doppelt gestartet ist.

2)

"certmgr.exe" starten und lösche mal alle Zertifikate aus "Eigenen Zertifikate" komplett raus.

3)

certmgr.exe dann schliessen

4)

erstell Dir die folgenden angepasste Batch-Datei
im selben Pfad wo die makecert.exe ist.


makecert.exe -r -n "CN=localhost" -b 01/01/2005 -e 01/01/2015 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr CurrentUser -a sha1 -sk localhost -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12


5)

Batch starten

6)

Certmgr.exe starten, Zertifikat überprüfen.
unter "Erweitert" muss der Haken für Serverauthentifizierung gesetzt sein.

7) in ioFTPD.ini eintragen


Certificate_Name = localhost
Explicit_Encryption = True
Encryption_Protocol = SSL3
Min_Cipher_Strength = 128
Max_Cipher_Strength = 256


und dann ioFTPD starten
und den SSL connect probieren.

Viel Glück ;-)

Mr_Wanton_2
02-12-2005, 08:58 AM
@Grendel
genau so hab ich es immer gemacht. Nur hab ich es immer nur in "Eigene Zertifikate" gehabt, wenn ich certmgr gestartet hab. dann ich das zertifikat exportiert und in "Vertrauenswürdige Stammzertifizierungstellen" importiert, da in den tuts, die hier grassieren es immer steht und das ding läuft nicht mit ssl

Grendel
02-12-2005, 08:59 AM
Anmerkung:

wenn man überall "localhost" verwendet braucht man bei der Portation auf einen anderen PC wenigstens nix mehr in der Konfig ändern. Denn blöden Invalid-Fehler beim Erstconnect kann man auch getrost ignorieren, das SSL geht aber trotzdem.

Ansonsten nimm überall die entsprechende IP-Adresse des Rechners

a) einfach 2x "localhost" in der Batch ersetzen
sowie
b) Certificate_Name = <deine IP>

dann kommt auch kein Invalid-Fehler bei Erstconnect.

...Und vergiss nicht "Reset Certifikate" im FFXP anzuklicken.


:D

Grendel
02-12-2005, 09:00 AM
Originally posted by Mr_Wanton
@Grendel
genau so hab ich es immer gemacht. Nur hab ich es immer nur in "Eigene Zertifikate" gehabt, wenn ich certmgr gestartet hab. dann ich das zertifikat exportiert und in "Vertrauenswürdige Stammzertifizierungstellen" importiert, da in den tuts, die hier grassieren es immer steht und das ding läuft nicht mit ssl


Wieso hast du das überhaupt gemacht , frag ich mich
ist doch gar nicht nötig ?!?!?

Mr_Wanton_2
02-12-2005, 09:06 AM
.Und vergiss nicht "Reset Certifikate" im FFXP anzuklicken. Komisch. Warum ist dieser Button bei mir grau unterlegt? Ich kann den gar nicht klicken

Grendel
02-12-2005, 09:18 AM
wenn der "grau" ist, dann gibts da nix zu resetten, dann is doch alles ok im FFXP.
Den Reset brauchste auch nur wenn das CERT mal neu gemacht wird.

P.S. das mit dem Verschieben in "Vertrauenswürdige Stammzertifikate" geht bei mir auch nicht. Hab ich soeben getestet.
SSL läuft bei mir auch nur wenn das Zertifikat unter "Eigene Zertifikate" liegt.

Mr_Wanton_2
02-12-2005, 09:22 AM
tja, dann haben wir wieder ein prob.
220 FTP Server ready.
AUTH SSL
504 AUTH %s unsupported.
Failed SSL/TLS negotiation, disconnected
DIESEER MIST WILL EINFACH NICHT LAUFEN *heul*

wrycat_2
02-12-2005, 11:07 AM
schonmal deine PMs gecheckt? Denke nicht. ;)

XRaVeN
08-28-2005, 07:31 PM
wo bekomme ich die makecert.exe?

gr33z
XRaveN

elimenar
09-10-2005, 11:25 AM
Die makecert.exe gibt es bei Microsoft (http://download.microsoft.com/download/platformsdk/Update/5.131.3617.0/NT45XP/EN-US/makecert.exe) .

LordM
09-12-2005, 07:50 AM
Also wenn es so nicht geht, dann musst du nochmal die ioFTPD 5.8.0r + die ioFTPD5.8.5r exe runter laden. Als Service läuft ioFTPD sicher nicht? Wenn localhost als Certificate-Name verwendet wird, klappt das in 100% der Fälle.

mogje
01-20-2006, 01:51 PM
hat jemand einen funktionierenden link zu makecert und certmgr ?! der link weiter oben funktioniert nicht (mehr)!

danke

bethlehem
05-14-2006, 05:42 AM
Siehe Anlage. (cert.zip)