1

Ошибка, возникающая в /etc/ssh/sshd_config потенциально может заблокировать пользователей или администраторов на сервере, доступном только через SSH. Telnet SSL - это резервный способ доступа к серверу в таком сценарии. Как настроить сервер Telnet SSL на сервере Ubuntu?

Telnet SSL устанавливается следующим образом:

sudo apt install telnetd-ssl

Когда он установлен, он создает сертификат /etc/telnetd-ssl/telnetd.pem . Когда клиент Telnet SSL пытается подключиться к серверу Telnet SSL, он не принимает сертификат, что приводит к выводу клиента, как показано ниже:

$ telnet-ssl -z secure example.org 23
Trying 127.0.0.1...
Connected to example.org.
Escape character is '^]'.
[SSL - attempting to switch on SSL]
[SSL - handshake starting]
SSL: Server has a self-signed certificate
SSL: unknown issuer: /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example.
SSL: certificate verify failed
telnet: Unable to ssl_connect to remote host
Connection closed.

Как это можно решить?

|источник

1 ответ1

0

Сервер SSL Telnet не принимает сертификат, что приводит к выводу клиента, как показано ниже:

$ telnet-ssl -z secure example.org 23
...
SSL: Server has a self-signed certificate
SSL: unknown issuer: /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example.
SSL: certificate verify failed

Согласно справочным страницам telnet-ssl(1), похоже, вам нужна опция -z cert=<cert file> .

-z cert=<cert file> необходим, поскольку эмитент (субъект DN = /O=Internet Widgits Pty Ltd/OU=m93p telnetd/CN=example./emailAddress=root@example) не является доверенным системой. То есть сертификат не находится в /etc/ssl/certs/ .

Другим вариантом может быть добавление сертификата в /etc/ssl/certs/ . Для Debian и Ubuntu вы просто копируете новый сертификат в формате PEM в каталог /etc/ssl/certs/ . Новый сертификат будет находиться рядом с другими 450 сертификатами.

Для Fedora вы должны добавить новый сертификат в файл /etc/ssl/certs/ca-bundle.crt . ca-bundle.crt действительно является ссылкой на /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem . tls-ca-bundle.pem - это просто объединение файлов PEM в один файл.

У Fedora также есть /etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt , но я не верю, что вы бы использовали его, потому что ca-bundle.trust.crt предназначен для CA и -подписанный сертификат конечного объекта не должен иметь CA=TRUE в базовых ограничениях.

Стоит отметить, что я никогда не использовал telnet-ssl поэтому я не могу дать полный ответ, основанный на опыте. Скорее всего, вы столкнетесь с дополнительными проблемами, когда выйдете за рамки «доверять этому SSL-сертификату». Например, похоже, что Telnet через TLS использует порт 992, а не 23.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .