Domyślnie DirectAdmin nie korzysta z SSL przy połączeniach do panelu administracyjnego.
Aby włączyć obsługę SSL oraz wygenerować certificate signing request, zastąpić samopodpisane certyfikaty wystawionymi np. przez StartSSL.com. Na serwerze s5.aboo.pl użyty został certyfikat Comodo Essential SSL:
Używając CSR generujemy certyfikat na stronie wystawcy. Jeżeli jesteśmy pytani o typ serwera, wybieramy Apache + mod_ssl, dzięki czemu otrzymamy w formacie PEM
Otrzymane od wystawcy pliki umieszczamy w /usr/local/directadmin/conf wraz z wcześniej wygenerowanym kluczem (-keyout …)
Edytujemy plik directadmin.conf, dodając lub modyfikując linie:
SSL=1 <- włączamy SSL
ssl_redirect_host=s5.aboo.pl <- ważne! ustawiamy adres na który klient jest odsyłany, jeżeli połączy się z http:// zamiast https://
cacert=/usr/local/directadmin/conf/cacert.pem <- certyfikat (\"nasz\")
cakey=/usr/local/directadmin/conf/cakey.pem <- klucz prywatny
carootcert=/usr/local/directadmin/conf/caroot.pem <- certyfikaty pośrednie (CA)
Bardzo, bardzo ważne – ustawiamy odpowiednie uprawnienia na plik z kluczem:
W tej instrukcji jest używany komputer o nazwie blog.aboo.pl o adresie IP 10.0.0.10. Jest oczywiste, że ustawienia te różnią się od tych, które mają być stosowane w określonym miejscu.
OpenSSL jest wymagane przez TLS; w celu instalacji ProFTPd i OpenSSL uruchamiamy:
Zostanie zadane pytanie:
w trybie wolnostojącym ( standalone)
Ze względów bezpieczeństwa można dodać do pliku /etc/proftpd.conf (więcej informacji można znaleźć na stronie: http://proftpd.org/localsite/Userguide/linked/userguide.html) następujące linie:
… i następujące niezdefiniowane linie w pliku /etc/proftpd/tls.conf :
Następnie otwieramy /etc/proftpd/tls.conf i wykonujemy polecenia :
Jeżeli jest używany TLSRequired, wtedy dozwolone są tylko połączenia TLS (uniemożliwia to połączenia jakiemukolwiek użytkownikowi, który używa klienta FTP bez wspomagania TLS). Bez wpisania tych linii i używania TLSRequired oba połączenia TLS i non-TLS są dozwolone i zależą od tego na co pozwala klient FTP.
Restratujemy Proftpd:
Teraz można próbować łączyć się poprzez korzystanie z klienta FTP. Powinno się dodatkowo skonfigurować klienta FTP z użyciem TLS (to jest konieczne podczas używania TLSRequired).
Jeżeli pojawią się problemy z TLS, najlepiej przejrzeć logi pliku TLS w /var/log/proftpd/tls.log.