Compnet

仕事とか遊びとか、日々折々

2019-05-09(木)

ついでに FTPs (明示的な TLS) 化

Posted by Nakane, R. in technical   

前の記事で今更事に FTP サーバーを構築しました。 そのついでといってはなんですが、TLS 化を施しました。

TLS 化には「明示的 TLS」と「暗黙的 TLS」の二通りがあり、たいていの場合はその両方を実現するのが普通です。 「明示的 TLS」は平文で通信を開始してその通信の中でアプリケーションのコマンド (たいていは STARTTLS コマンド、FTP では AUTH TLS コマンド) を実行することで TLS を使った暗号通信に切り替える方法です。 「明示的 TLS」では暗号化されていない平文で通信を開始することもあり、アプリケーションが使う通信ポートは TLS 化していない通信と同じものが使えます。 TLS 化していない通信ポート (FTP では TCP の 21 番ポート) で通信を開始して、切り替えるコマンドが実行されればそれ以降を TLS で暗号化し、切り替えるコマンドが実行されない限りはずっと平文のままで通信を続けます。

これに対して「暗示的 TLS」では最初から TLS を使った暗号通信を行います。 ただしこの場合は平文と同じ通信ポートが使えません。 FTP の「暗示的 TLS」では通常 TCP の 990 番ポートを使います。

今回使用した Pure-FTPd では「明示的 TLS」だけしか実現できません。 Pure-FPTd の TLS 対応はプログラムをコンパイルするときのスイッチで切り替わり、Debian の標準リポジトリで提供されている Pure-FTPd では TLS に関して --with-tls スイッチだけが指定されています。 これによって Pure-FTPd で「明示的 TLS」が使用可能になりますが、このスイッチだけでは「暗示的 TLS」は使えるようにはなりません。 「暗示的 TLS」を使用可能にするには --with-implicittls スイッチを付けてコンパイルする必要がありますが、Debian の標準リポジトリで提供されている Pure-FTPd はそのようにはなっていません。

どうしてもというのであれば、Debian の標準リポジトリからインストールした Pure-FTPd とは別に --with-implicittls スイッチを付けてソース コードから Pure-FTPd をコンパイルして、これら二つのプロセスを起動すれば、何とかできるでしょう。 ここまでして TLS 化をするつもりにはなれないので、ここでは「明示的 TLS」だけが使えるようにします。

Read more...


2015-07-13(月)

OpenSSL で Azure ポイント対サイト (P2S) の証明書を作る

Posted by Nakane, R. in technical   

備考

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

Azure に ポイント対サイト (P2S) 接続をする際に必要な、ルート証明書とクライアント証明書をWindows の makecert.exe コマンドを使って作成する方法を先の記事で書いた。 加えて、作成した証明書の内容を前の記事に書いた。 それを元にして、Linux の OpenSSL で同様な証明書を作成してみる。

南京錠を運ぶトラック

Read more...


2015-07-10(金)

Windows で作った自己署名証明書を調べる

Posted by Nakane, R. in technical   

備考

この記事は旧ブログから移行した記事です。 元記事は ここ にあります。

Azure に ポイント対サイト (P2S) 接続をする際に必要な、ルート証明書とクライアント証明書をWindows の makecert.exe コマンドを使って作成する方法を前の記事で書いた。 同じことを Linux の OpenSSL を使って試そうと思う。 それに先だって、makecert.exe で作った証明書の内容を調べておく。

鍵

Read more...