Lftp et pb de certificat ssl non trusted

Bonjour,

Premier site chez Ouvaton, j’utilise lftp pour les déploiements (avec Ansible).

Lors de la connexion lftp, j’ai cette erreur :
[« mirror: Erreur fatale: Certificate verification: Not trusted (B9:23:77:1A:0C:91:43:C2:40:9A:ED:63:A7:00:94:56:73:44:61:68) »]

la connexion est faite avec : ftp.ouvaton.coop.
j’ai aussi essayé avec ftps://ftp.ouvaton.coop
pareil,… lftp veux pas.

Sur internet, il est indiqué que l’erreur vient du fait que lftp vérifie le certif, et qu’il semble qu’il ne soit pas validé par l’authorité, ou bien, que lftp doit avoir la clé publique du certificat (ou quelque chose comme ça).

Avec Filezilla, la connexion demande aussi de valider le certificat (qui est certifié par Gandi).

Là, y a une solution qui est bien.
https://www.versatilewebsolutions.com/blog/2014/04/lftp-ftps-and-certificate-verification.html

Là aussi :

mais je ne sais pas laquelle serait le mieux.

Et puis, vous avez peut être une meilleure solution ?
Vous pouvez fournir la clé plublique … pour éviter de la bidouillé en la récupérant ?


il y a aussi un peu partout sur internet la solution de dire à lftp de ne pas faire la vérif du cerficat,…
mais bof,… sinon, avec ce genre de solution, à quoi ça sert que Ducros y se décarcasse ??? (à mettre des certificats en place).

Bonne journée,
Antoine

Bonjour,

J’utilise peu lftp, a priori vous pouvez soit ne pas vérifier le certificat juste pour le FTP d’Ouvaton :

lftp -e "set ssl:verify-certificate/B9:23:77:1A:0C:91:43:C2:40:9A:ED:63:A7:00:94:56:73:44:61:68 no" ftp://user:pass@ftp.ouvaton.coop

Soit ajouter dans /etc/ssl/certs/ca-certificates.crt (ou peut-être mieux dans un autre fichier juste pour ce certificat) le contenu des lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- et tout ce qu’il y a entre les deux, résultat de la commande openssl s_client -connect ftp.ouvaton.coop:21 -starttls ftp -servername ftp.ouvaton.coop

À tester !

Bonjour,

Merci pour cette réponse qui m’aide bien.
Parce que bien détaillée et spécifique pour ce cas-ci… et me trace la voie.

J’utilise lftp parce qu’il a une fonction « mirror », qui fait comme un rsync sur les dossiers et fichiers.
Cela permet de demander la mise à jour de l’ensemble du site, sans avoir à patienter longtemps, le temps que tout passe.
Pratique pour les petites mises au points par-ci par-là … surtout quand on fait les pages html à la mano,… (design : "mon-site-c-est-moi-qui-l-a-fait… comme la purée !.. ;-).

je vais essayer ce we, et viendrait poster un petit retour…
bon we !

1 Like

Bonjour,

Bon, alors, ça marche avec les deux solutions.
Dans les deux cas, il faut bien mettre le protocole « ftp://… », et non pas « sftp:// » pour le host.
c’est à dire : ftp://ftp.ouvaton.coop

Je vais utiliser la solution avec le certificat mis dans le dossier : /etc/ssl/certs/
Si on utilise le certificat dans les certs, il faut mettre l’option « ssl-auth » à « SSL ».
C’est à dire, ajouter la commande : « set ssl-auth SSL; » dans la commande lftp.
Sinon, il se connecte au serveur, mais ensuite, quand on passe des commandes (en mode interactif, ou avec le -e), ca fait des « connexion refused ».
Il semble qu’il utilise le port 990 pour se connecter, j’ai l’impression qu’il part sur une connexion TLS au lieu de SSL, ou un truc comme ça.
En imposant le SSL, ca passe.

Ce qui fait une commande type comme ça :
lftp -u 'nom_utilisateur,mot_de_passe' -e 'set ssl-auth SSL; mirror --verbose=3 -Re ....../mes_dossiers/WebContent/ /httpdocs/; bye' ftp://ftp.ouvaton.coop

Merci pour l’aide qui m’a mis sur la piste…

1 Like