Proftpd root Zertifikat

[Pfandfinder]

Ich habe einen Debian Server gehosted mit froxlor für eine Website Verwaltung. Als ftp Server wird proftpd genutzt. Für eine sichere Verbindung werden bei der froxlor Einrichtung Befehle für das Erstellen eines Zertifikats mit openssl gelistet, das habe ich gemacht.

Ftp mit expliziter Verschlüsselung bei WinScp am PC geht. Muss lediglich das Zertifikat bestätigen.

Wenn ich jetzt mit der Android App Keepass2android per ftp + explizite Verschlüsselung meine KeePass öffne, kommt immer die Meldung dass das root Zertifikat fehlt und importiert werden soll. Es funktioniert aber dennoch.

Jetzt ist die Frage, was genau ist damit gemeint, welches brauche ich? Liegt das auf dem server wie z. B. etc/ssl/private/proftpd.key ? Und wenn ich es nicht mache, ist die Verbindung dennoch jetzt verschlüsselt ?

 

[Kenny [CH]]

Keepass möchte ein gültiges zert. Du kannst dein zert exportueren und im telefon importieren und es sollte gehen. Aber ich würde eher empfehlen gleich letsencrypt einzu richten, da würdest du ein richtiges signiertes und vertrauenswürdiges cert vekommen

 

[madmax2010]

Für eine sichere Verbindung werden bei der froxlor Einrichtung Befehle für das Erstellen eines Zertifikats mit openssl gelistet, das habe ich gemacht.

die doku dazu ist eher leer:
https://docs.froxlor.org/adminguide/interface/resources/sslcerts.html
zeig doch mal dein Zert und wie es erstellt wurde.
Klingt als ob du eine eigene root CA erstellt hast. Wie ahst du die denn aufgesetzt?
was ich bei froxlor finde siehr aus, als ob du dir einfach via letsencrypt ein zert holen sollst. Das ist dessen root auch bestehenden tools bekannt

Es gibt heutzutage wirklich keinen grund mehr, noch selfsigned certs zu nutzen.

Ftp mit expliziter Verschlüsselung bei WinScp am PC geht. Muss lediglich das Zertifikat bestätigen.

warum nutzt du nicht einfach SCP anstatt proftpd zu nutzen? Deutlich weniger Angriffsflaeche. Pubkey authentication an und gut ist

Und: So software wie foxlor bitte niemals frei aus dem Internet erreichbar machen. Solche tools sind ein mekka fuer leute, die ohne Geld auszugeben mehr Server haben wollen.

 

[Pfandfinder]

Wie exportiert ich das Zertifikat denn und welches ist es denn ? Let's encrypt geht doch nur für Webseiten, keine ftp Zugänge...?

 

[madmax2010]

Einem ssl Zertifikat ist es egal ob es für ssl verschlüsselted ftp oder http verwendet wird.
Aber wie gesagt. Brauchst du nicht.
Wenn du ftps machst hast du immernoch nur passwort Authentifizierung. Das ist deutlich a greifbarer als pubkey Auth.

Letzteres ist am simpelsten wenn du einfach scp nutzt. Nicht vergessen password Auth zu deaktivieren

Wenn es unbedingt ftp sein muss, nutz lieber sftp nicht ftps. Auch da kannst du dich mit deinem üblichen Schlüsselpaar anmelden.

Und bitte nirgendwo root den login von außen erlauben. Weder auf ssh noch ftp noch im froxlor