VSFTPd 2.0.1+
Transkrypt
VSFTPd 2.0.1+
VSFTPd 2.0.1+ U ycie certyfikatów niekwalifikowanych w oprogramowaniu VSFTPd wersja 1.1 UNIZETO TECHNOLOGIES SA © Spis tre ci 1. WST P.............................................................................................................................................................. 3 2. TWORZENIE KLUCZY I CERTYFIKATU DLA DEMONA VSFTPD....................................................... 3 2.1. 2.2. 2.3. GENEROWANIE WNIOSKU O CERTYFIKAT (CSR) ....................................................................................... 3 TWORZENIE CERTYFIKATU NA PODSTAWIE UTWORZONEGO DANIA (CSR)........................................... 4 IMPORTOWANIE CERTYFIKATÓW ................................................................................................................ 6 3. POBIERANIE CERTYFIKATÓW CERTUM CA I CERTYFIKATÓW PO REDNICH. ......................... 7 4. INSTALOWANIE KLUCZA PRYWATNEGO I CERTYFIKATÓW W VSFTPD..................................... 8 5. KONFIGUROWANIE VSFTPD DO POŁ CZE W OTOCZENIU SSL. ................................................ 8 UNIZETO TECHNOLOGIES SA © 1. Wst p VSFTPd jest darmowym (BSD), bezpiecznym, wysokiej jako ci, spełniaj cym wszelkie standardy serwerem FTP. Bardzo dobrze sprawdza si zarówno dla u ytku domowego jak i dla wszelkiego rodzaju organizacji czy du ych firm. Jest bardzo przyjazny dla administratorów (obsługuje m.in. j zyk polski) i dobrze współpracuje z wieloma ró nymi usługami (m.in. LDAP czy SQL). Dzi ki integracji z bibliotek OpenSSL zapewnia u ytkownikom pełn poufno i integralno danych. Aby wła ciwie skonfigurowa komponenty: poł czenia SSL na linii klient-serwer potrzebne b d • Serwer VSFTPd – http://vsftpd.beasts.org/ • Biblioteka OpenSSL – www.openssl.org • Kompatybilny klient nast puj ce Je li Twoja dystrybucja Linuksa nie obejmuje powy szych składników, ci gnij je i zainstaluj. Przy pisaniu tej instrukcji, Autor korzystał z dystrybucji: Red Hat Enterprise Linux 4. 2. Tworzenie kluczy i certyfikatu dla demona VSFTPd 2.1. Generowanie wniosku o certyfikat (CSR) W celu wygenerowania kluczy i wniosku o certyfikat, wykorzystamy zewn trzne narz dzie – Openssl – które mo na ci gn ze strony: http://openssl.org. Po instalacji biblioteki Openssl, wydajemy polecenie: openssl genrsa -des3 -out server.key 1024 Polecenie to spowoduje wygenerowanie klucza prywatnego o nazwie server.key dla naszego serwera. Klucz ten b dzie miał długo 1024 bity i b dzie zaszyfrowany algorytmem symetrycznym 3des. Podczas generowania klucza b dziemy poproszeni o hasło, które zabezpieczy komponent. Plik CSR wraz z kluczem prywatnym server.key nale y zabezpieczy na dyskietce lub innym no niku. Po pomy lnym wygenerowaniu klucza prywatnego wydajemy polecenie: openssl req -new -key server.key -out server.csr Wynikiem tego polecenia jest danie certyfikatu CSR serwera, które zapisane zostanie w pliku server.csr. Pami tajmy o wskazaniu pliku z kluczem prywatnym server.key. Podczas generowania dania CSR nale y poda hasło zabezpieczaj ce klucz prywatny oraz dane zwi zane z nasz firm i serwerem poczty: VSFTPd 2.0.1+ – Wst p Wersja 1.1 UNIZETO TECHNOLOGIES SA © 3 1. Country (C) - dwuliterowy symbol kraju (PL). Nale y u y kodu ISO, np. poprawnym kodem Polski jest PL (du e litery), a nie pl czy RP. 2. State / Province (ST) - nazwa województwa, np.: Zachodniopomorskie. Nie nale y stosowa skrótów. 3. City or Locality (L) - nazwa miasta lub wsi, np.: Szczecin, Kozia Wolka, Warszawa. 4. Organization Name (O) - pełna nazwa swojej organizacji / firmy, np.: Moja Firma 5. Organizational Unit (OU) - je eli zachodzi taka potrzeba, mo na wypełni nazw działu np. Oddzial w Moja Firma 6. Common Name (CN) - bardzo wa ne pole! Musi si tutaj znale np.: www.mojserwer.pl, mojadomena.plm *.mojserwer.pl. to pole, wstawiaj c pełna nazwa DNS (fqdn) serwera UWAGA: U ywanie znaków specjalnych % ^ $ _ lub polskich znaków diakrytycznych: podawaniu tych informacji spowoduje nieprawidłowe wygenerowanie certyfikatu!!! Pami tajmy, e w pole Common Name musimy wpisa poczta.mojserwer.com, pop3.mojadomena.pl, smtp.test.com.pl: 2.2. nazw Tworzenie certyfikatu na podstawie utworzonego Wygenerowane w kroku poprzednim Ł przy fqdn naszego serwera, np. dania (CSR) danie powinno mie posta podobn jak poni ej: -----BEGIN NEW CERTIFICATE REQUEST----MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G A1UECxMYRHppYWwgT2Nocm9ueSBJbmZvcm1hY2ppMRswGQYDVQQKExJVbml6ZXRv IFNwLiB6IG8uby4xETAPBgNVBAcTCFN6Y3plY2luMRswGQYDVQQIExJaYWNob2Ru aW9wb21vcnNraWUxCzAJBgNVBAYTAlBMMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB iQKBgQC8JvRqRPbltoZyvMjfXCef5PIcyLMQv6Z2Al0j2GMoeKBCCyZF1kHoDsWW 0ZF54FrTZhyKwYqfgiHO5duLfJSBqb/PTzovZH9qXUtxl+zQIhcJnA4Z/jKyWHGl X7LUlC9u2bas/vWwQZWYvxeqNMW4RZ+LU9Qqm9b/YD2qtOZ2qwIDAQABoIIBUzAa BgorBgEEAYI3DQIDMQwWCjUuMC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYD VR0PAQH/BAQDAgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA bgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkA ZABlAHIDgYkAXxNuAz6gcBaZUdef8WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5C kGynLGy0f+Lff7ViSDJqxYWaJ68ddqgXyAqIilF63kivPTiC6yxLaNX65v3cnKFx 4UrUrGXZtub7M7/NuxSipOW0Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAA ADANBgkqhkiG9w0BAQUFAAOBgQAsTG3Hu00fFzNTekFo/fb3tKsmuS/1rCCB5sQK VSFTPd 2.0.1+ – Tworzenie kluczy i certyfikatu dla demona VSFTPd Wersja 1.1 UNIZETO TECHNOLOGIES SA © 4 iNpWGZ8Z8+TmqBB0Tuz4FPTkeSqLpWv1ORfmxMKPIu10dC3QwRP2E//oMPnaU807 IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D YBApPQ== -----END NEW CERTIFICATE REQUEST----Maj c wygenerowane danie wypełniamy formularz zgłoszeniowy i wklejamy CSR na stronie CERTUM (www.certum.pl -> Oferta -> Certyfikaty niekwalifikowane -> Zabezpieczanie serwerów -> Serwery SSL i na dole strony wybieramy Kup certyfikat). UWAGA: W celu wklejania certyfikatu na stronie nale y skopiowa fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--" (razem z tymi liniami!!!), u ywaj c do tego celu edytora tekstowego. Upewniamy si , e w polu E-mail jest wpisany poprawny adres (na ten adres zostan wysłane dalsze instrukcje), oraz, e zaznaczyli my pole Potwierdzam O wiadczenie i klikamy Dalej. Pojawi si strona, na której mo emy si upewni , e nasze prawidłowe dane. danie CSR zostało wygenerowane na UWAGA: Nale y si upewni , e w polu podmiot jest wpisana poprawna nazwa naszej strony (je li kupujemy certyfikat na domen poczta.mojserwer.com upewnijmy si , e ta nazwa widnieje w tym polu)!!! Upewniwszy si , co do poprawno ci wprowadzonych danych klikamy Dalej: VSFTPd 2.0.1+ – Tworzenie kluczy i certyfikatu dla demona VSFTPd Wersja 1.1 UNIZETO TECHNOLOGIES SA © 5 Po wykonaniu powy szej procedury zostaniemy poinformowani stosownym e-mailem o dalszych krokach naszych działa . 2.3. Importowanie certyfikatów Po wykonaniu powy szej procedury z poprzedniego punktu otrzymamy stosownego e-maila z adresem strony oraz numerem ID umo liwiaj cym aktywacj certyfikatu (umieszczenie certyfikatu w naszym repozytorium dost pnym na stronach www). Wchodzimy na stron , wklejamy ID i aktywujemy certyfikat klikaj c Dalej: Pojawi si okno ze szczegółami naszego certyfikatu: Klikamy Zapisz tekstowo, aby zapisa certyfikat jako plik *.cer. certyfikat jako plik *.pem lub Zapisz binarnie, aby zapisa UWAGA: W przypadku utraty pliku z certyfikatem, mo emy j Obsługa certyfikatów -> Wyszukaj certyfikat (niekwalifikowany). pobra ze strony www.certum.pl -> VSFTPd 2.0.1+ – Tworzenie kluczy i certyfikatu dla demona VSFTPd Wersja 1.1 UNIZETO TECHNOLOGIES SA © 6 Dla interesuj cego nas certyfikatu wybieramy opcj Zapisz tekstowo lub Zapisz binarnie: UWAGA: Pobrany w ten sposób plik zawiera jedynie certyfikat serwera – pozostałe certyfikaty CERTUM mo na pobra z działu Obsługa certyfikatów -> Za wiadczenia i klucze i doł czy do pobranego pliku. 3. Pobieranie certyfikatów Certum CA i certyfikatów po rednich. Aby pobra certyfikat Certum CA lub certyfikaty po rednie nale y wej na stron www.certum.pl do działu Obsługa certyfikatów Za wiadczenia i klucze. Po wybraniu certyfikatu nale y wybra opcj Certyfikat dla serwerów WWW. Wy wietli si interesuj cy nas certyfikat, który zaznaczymy myszk , wkleimy do pliku i zapiszemy (lub dla wygody doł czamy do pliku z naszym certyfikatem w kolejno ci nasz certyfikat -> Certum Level I-IV -> Certum CA). UWAGA: W celu wklejania do pliku certyfikatu prezentowanego na stronie nale y skopiowa fragment tekstu od linii "--BEGIN CERTIFICATE --" do "--END CERTIFICATE--". VSFTPd 2.0.1+ – Pobieranie certyfikatów Certum CA i certyfikatów po rednich. Wersja 1.1 UNIZETO TECHNOLOGIES SA © 7 W przypadku pobierania certyfikatów po rednich, wybieramy interesuj cy nas certyfikat, np. CERTUM Level IV z listy (Certyfikaty Level IV nale y pobra w przypadku, gdy posiadamy certyfikat typu Trusted, certyfikat poziomu III nale y pobra w sytuacji, gdy posiadamy certyfikat typu Enterprise / Wildcard, certyfikat poziomu II nale y pobra w sytuacji, gdy posiadamy certyfikat typu Commercial; dla certyfikatów typu Private pobierany jest certyfikat klasy I). Pozostała cz procesu (zapisanie do pliku) przebiega jak dla certyfikatu Certum CA. 4. Instalowanie klucza prywatnego i certyfikatów w VSFTPd Przed instalacj server.key: certyfikatu nale y usun hasło zabezpieczaj ce pliku z kluczem prywatnym Po usuni ciu hasła, plik z kluczem prywatnym ł czymy z paczk z certyfikatami nr_seryjny.pem (w której znajduje si certyfikat serwera i certyfikaty po rednie, je li je wkleili my wcze niej – patrz rozdział 3 wy ej): cat server.key cert.txt > /usr/share/ssl/certs/vsftpd.pem Plik vsftpd.pem b dzie umieszczony w katalogu /etc/ssl/private. Jest to katalog domy lny, u ywany przez PureFTPd do przechowywania kluczy i certyfikatów (podczas istalacji mo na go zmieni ). Po przeniesieniu pliku z certyfikatami i kluczem, nale y zrestartowa serwer. 5. Konfigurowanie VSFTPd do poł cze w otoczeniu SSL. Po zainstalowaniu biblioteki OpenSSL, wygenerowaniu kluczy i postawieniu demona FTP, nale y skonfigurowa serwer tak, aby umo liwiał klientom bezpieczne poł czenie. Je eli nie instalujemy Vsftpd z pakietu to pami tajmy o zmianie nast puj cej linijki w pliku builddefs.h: #undef VSF_BUILD_SSL na: #define VSF_BUILD_SLL Nast pnie edytujemy plik vsftpd.conf i dopisujemy na ko cu linijk : ssl_enable=YES aktywujemy konkretny protokół, np.: ssl_sslv2=YES #ssl_sslv3=YES #ssl_tlsv1=YES Domy lnie serwer b dzie szukał kluczy /usr/share/ssl/certs/vsftpd.pem). Aby wskaza swoj nale y doda poni szy wpis: w katalogu certs (w tym przypadku cie k do paczki z kluczami np. do katalogu /tmp rsa_cert_file=/tmp/vsftpd.pem VSFTPd 2.0.1+ – Instalowanie klucza prywatnego i certyfikatów w VSFTPd Wersja 1.1 UNIZETO TECHNOLOGIES SA © 8