VSFTPd 2.0.1+

VSFTPd 2.0.1+
U ycie certyfikatów niekwalifikowanych
w oprogramowaniu VSFTPd
wersja 1.1
UNIZETO TECHNOLOGIES SA ©
Spis tre ci
1.
WST P.............................................................................................................................................................. 3
2.
TWORZENIE KLUCZY I CERTYFIKATU DLA DEMONA VSFTPD....................................................... 3
2.1.
2.2.
2.3.
GENEROWANIE WNIOSKU O CERTYFIKAT (CSR) ....................................................................................... 3
TWORZENIE CERTYFIKATU NA PODSTAWIE UTWORZONEGO DANIA (CSR)........................................... 4
IMPORTOWANIE CERTYFIKATÓW ................................................................................................................ 6
3.
POBIERANIE CERTYFIKATÓW CERTUM CA I CERTYFIKATÓW PO REDNICH. ......................... 7
4.
INSTALOWANIE KLUCZA PRYWATNEGO I CERTYFIKATÓW W VSFTPD..................................... 8
5.
KONFIGUROWANIE VSFTPD DO POŁ CZE W OTOCZENIU SSL. ................................................ 8
UNIZETO TECHNOLOGIES SA ©
1. Wst p
VSFTPd jest darmowym (BSD), bezpiecznym, wysokiej jako ci, spełniaj cym wszelkie standardy
serwerem FTP. Bardzo dobrze sprawdza si zarówno dla u ytku domowego jak i dla wszelkiego
rodzaju organizacji czy du ych firm. Jest bardzo przyjazny dla administratorów (obsługuje m.in. j zyk
polski) i dobrze współpracuje z wieloma ró nymi usługami (m.in. LDAP czy SQL). Dzi ki integracji z
bibliotek OpenSSL zapewnia u ytkownikom pełn poufno i integralno danych.
Aby wła ciwie skonfigurowa
komponenty:
poł czenia SSL na linii klient-serwer potrzebne b d
•
Serwer VSFTPd – http://vsftpd.beasts.org/
•
Biblioteka OpenSSL – www.openssl.org
•
Kompatybilny klient
nast puj ce
Je li Twoja dystrybucja Linuksa nie obejmuje powy szych składników, ci gnij je i zainstaluj.
Przy pisaniu tej instrukcji, Autor korzystał z dystrybucji: Red Hat Enterprise Linux 4.
2. Tworzenie kluczy i certyfikatu dla demona VSFTPd
2.1.
Generowanie wniosku o certyfikat (CSR)
W celu wygenerowania kluczy i wniosku o certyfikat, wykorzystamy zewn trzne narz dzie – Openssl –
które mo na ci gn ze strony: http://openssl.org.
Po instalacji biblioteki Openssl, wydajemy polecenie:
openssl genrsa -des3 -out server.key 1024
Polecenie to spowoduje wygenerowanie klucza prywatnego o nazwie server.key dla naszego serwera.
Klucz ten b dzie miał długo
1024 bity i b dzie zaszyfrowany algorytmem symetrycznym 3des.
Podczas generowania klucza b dziemy poproszeni o hasło, które zabezpieczy komponent.
Plik CSR wraz z kluczem prywatnym server.key nale y zabezpieczy na dyskietce lub innym no niku.
Po pomy lnym wygenerowaniu klucza prywatnego wydajemy polecenie:
openssl req -new -key server.key -out server.csr
Wynikiem tego polecenia jest
danie certyfikatu CSR serwera, które zapisane zostanie w pliku
server.csr. Pami tajmy o wskazaniu pliku z kluczem prywatnym server.key. Podczas generowania
dania CSR nale y poda hasło zabezpieczaj ce klucz prywatny oraz dane zwi zane z nasz firm i
serwerem poczty:
VSFTPd 2.0.1+ – Wst p
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
3
1. Country (C) - dwuliterowy symbol kraju (PL). Nale y u y kodu ISO, np. poprawnym kodem Polski
jest PL (du e litery), a nie pl czy RP.
2. State / Province (ST) - nazwa województwa, np.: Zachodniopomorskie. Nie nale y stosowa
skrótów.
3. City or Locality (L) - nazwa miasta lub wsi, np.: Szczecin, Kozia Wolka, Warszawa.
4. Organization Name (O) - pełna nazwa swojej organizacji / firmy, np.: Moja Firma
5. Organizational Unit (OU) - je eli zachodzi taka potrzeba, mo na wypełni
nazw działu np. Oddzial w Moja Firma
6. Common Name (CN) - bardzo wa ne pole! Musi si tutaj znale
np.: www.mojserwer.pl, mojadomena.plm *.mojserwer.pl.
to pole, wstawiaj c
pełna nazwa DNS (fqdn) serwera
UWAGA: U ywanie znaków specjalnych % ^ $ _ lub polskich znaków diakrytycznych:
podawaniu tych informacji spowoduje nieprawidłowe wygenerowanie certyfikatu!!!
Pami tajmy, e w pole Common Name musimy wpisa
poczta.mojserwer.com, pop3.mojadomena.pl, smtp.test.com.pl:
2.2.
nazw
Tworzenie certyfikatu na podstawie utworzonego
Wygenerowane w kroku poprzednim
Ł przy
fqdn naszego serwera, np.
dania (CSR)
danie powinno mie posta podobn jak poni ej:
-----BEGIN NEW CERTIFICATE REQUEST----MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G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 2.0.1+ – Tworzenie kluczy i certyfikatu dla demona VSFTPd
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
4
iNpWGZ8Z8+TmqBB0Tuz4FPTkeSqLpWv1ORfmxMKPIu10dC3QwRP2E//oMPnaU807
IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D
YBApPQ==
-----END NEW CERTIFICATE REQUEST----Maj c wygenerowane
danie wypełniamy formularz zgłoszeniowy i wklejamy CSR na stronie
CERTUM (www.certum.pl -> Oferta -> Certyfikaty niekwalifikowane -> Zabezpieczanie serwerów ->
Serwery SSL i na dole strony wybieramy Kup certyfikat).
UWAGA: W celu wklejania certyfikatu na stronie nale y skopiowa fragment tekstu od linii "--BEGIN
CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), u ywaj c do tego celu
edytora tekstowego.
Upewniamy si , e w polu E-mail jest wpisany poprawny adres (na ten adres zostan wysłane dalsze
instrukcje), oraz, e zaznaczyli my pole Potwierdzam O wiadczenie i klikamy Dalej.
Pojawi si strona, na której mo emy si upewni , e nasze
prawidłowe dane.
danie CSR zostało wygenerowane na
UWAGA: Nale y si upewni , e w polu podmiot jest wpisana poprawna nazwa naszej strony (je li
kupujemy certyfikat na domen poczta.mojserwer.com upewnijmy si , e ta nazwa widnieje w tym
polu)!!!
Upewniwszy si , co do poprawno ci wprowadzonych danych klikamy Dalej:
VSFTPd 2.0.1+ – Tworzenie kluczy i certyfikatu dla demona VSFTPd
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
5
Po wykonaniu powy szej procedury zostaniemy poinformowani stosownym e-mailem o dalszych
krokach naszych działa .
2.3.
Importowanie certyfikatów
Po wykonaniu powy szej procedury z poprzedniego punktu otrzymamy stosownego e-maila z adresem
strony oraz numerem ID umo liwiaj cym aktywacj certyfikatu (umieszczenie certyfikatu w naszym
repozytorium dost pnym na stronach www).
Wchodzimy na stron , wklejamy ID i aktywujemy certyfikat klikaj c Dalej:
Pojawi si okno ze szczegółami naszego certyfikatu:
Klikamy Zapisz tekstowo, aby zapisa
certyfikat jako plik *.cer.
certyfikat jako plik *.pem lub Zapisz binarnie, aby zapisa
UWAGA: W przypadku utraty pliku z certyfikatem, mo emy j
Obsługa certyfikatów -> Wyszukaj certyfikat (niekwalifikowany).
pobra
ze strony www.certum.pl ->
VSFTPd 2.0.1+ – Tworzenie kluczy i certyfikatu dla demona VSFTPd
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
6
Dla interesuj cego nas certyfikatu wybieramy opcj Zapisz tekstowo lub Zapisz binarnie:
UWAGA: Pobrany w ten sposób plik zawiera jedynie certyfikat serwera – pozostałe certyfikaty
CERTUM mo na pobra z działu Obsługa certyfikatów -> Za wiadczenia i klucze i doł czy do
pobranego pliku.
3. Pobieranie certyfikatów Certum CA i certyfikatów po rednich.
Aby pobra certyfikat Certum CA lub certyfikaty po rednie nale y wej na stron www.certum.pl do
działu Obsługa certyfikatów
Za wiadczenia i klucze. Po wybraniu certyfikatu nale y wybra opcj
Certyfikat dla serwerów WWW.
Wy wietli si interesuj cy nas certyfikat, który zaznaczymy myszk , wkleimy do pliku i zapiszemy (lub
dla wygody doł czamy do pliku z naszym certyfikatem w kolejno ci nasz certyfikat -> Certum Level I-IV
-> Certum CA).
UWAGA: W celu wklejania do pliku certyfikatu prezentowanego na stronie nale y skopiowa fragment
tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--".
VSFTPd 2.0.1+ – Pobieranie certyfikatów Certum CA i certyfikatów po rednich.
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
7
W przypadku pobierania certyfikatów po rednich, wybieramy interesuj cy nas certyfikat, np. CERTUM
Level IV z listy (Certyfikaty Level IV nale y pobra w przypadku, gdy posiadamy certyfikat typu Trusted,
certyfikat poziomu III nale y pobra w sytuacji, gdy posiadamy certyfikat typu Enterprise / Wildcard,
certyfikat poziomu II nale y pobra w sytuacji, gdy posiadamy certyfikat typu Commercial; dla
certyfikatów typu Private pobierany jest certyfikat klasy I). Pozostała cz
procesu (zapisanie do pliku)
przebiega jak dla certyfikatu Certum CA.
4. Instalowanie klucza prywatnego i certyfikatów w VSFTPd
Przed instalacj
server.key:
certyfikatu nale y usun
hasło zabezpieczaj ce pliku z kluczem prywatnym
Po usuni ciu hasła, plik z kluczem prywatnym ł czymy z paczk z certyfikatami nr_seryjny.pem (w
której znajduje si certyfikat serwera i certyfikaty po rednie, je li je wkleili my wcze niej – patrz rozdział
3 wy ej):
cat server.key cert.txt > /usr/share/ssl/certs/vsftpd.pem
Plik vsftpd.pem b dzie umieszczony w katalogu /etc/ssl/private. Jest to katalog domy lny, u ywany
przez PureFTPd do przechowywania kluczy i certyfikatów (podczas istalacji mo na go zmieni ).
Po przeniesieniu pliku z certyfikatami i kluczem, nale y zrestartowa serwer.
5. Konfigurowanie VSFTPd do poł cze w otoczeniu SSL.
Po zainstalowaniu biblioteki OpenSSL, wygenerowaniu kluczy i postawieniu demona FTP, nale y
skonfigurowa serwer tak, aby umo liwiał klientom bezpieczne poł czenie. Je eli nie instalujemy Vsftpd
z pakietu to pami tajmy o zmianie nast puj cej linijki w pliku builddefs.h:
#undef VSF_BUILD_SSL
na:
#define VSF_BUILD_SLL
Nast pnie edytujemy plik vsftpd.conf i dopisujemy na ko cu linijk :
ssl_enable=YES
aktywujemy konkretny protokół, np.:
ssl_sslv2=YES
#ssl_sslv3=YES
#ssl_tlsv1=YES
Domy lnie
serwer
b dzie
szukał
kluczy
/usr/share/ssl/certs/vsftpd.pem). Aby wskaza swoj
nale y doda poni szy wpis:
w
katalogu
certs
(w
tym
przypadku
cie k do paczki z kluczami np. do katalogu /tmp
rsa_cert_file=/tmp/vsftpd.pem
VSFTPd 2.0.1+ – Instalowanie klucza prywatnego i certyfikatów w VSFTPd
Wersja 1.1
UNIZETO TECHNOLOGIES SA ©
8