Logdateien für rclone

[Henning]

Guten Abend,

ich erhalte beim Anlegen eines Repository folgende Meldung:

Failed to create file system for "rclone-storage:/xxx/": NewFs: failed to make FTP connection to "xxx:21": x509: certificate signed by unknown authority

Wenn ich explizites FTP über TLS und die Nicht-Verifizierung des Zertifikates auswähle, erstellt er ein Repository und die Backups laufen nachts ohne Probleme durch.

Dennoch möchte ich natürlich gerne wissen, woran es genau liegt. Der Backupspeicher liegt bei einem anderen Hoster, hat also keine interne Verbindung zu KeyHelp.

Gibt es eine Möglichkeit, wenn ich den möglichen "Fehler" reproduziere, das zu tracken und mir hinterher in einer Logdatei anzuschauen? Ich habe zumindest keine gefunden.

[Jolinar]

Die Ursache des Problems ist doch ziemlich eindeutig:

Code: Select all

failed to make FTP connection to "xxx:21": x509: certificate signed by unknown authority

Das bedeutet, daß das Zertifikat, welches beim Verbindungsaufbau von deinem Backupspeicher gesendet wird, nicht verifiziert werden kann.

Ich sehe 3 Möglichkeiten, um das Problem zu beseitigen:
1. Wenn der Backupspeicher unter deiner Kontrolle steht, dann verpaß ihm einfach ein verifizierbares Zertifkat
2. Kopiere das CA Zertifikat deines Backupspeichers in die Zertifkatverwaltung deines Servers und registriere es dort
3. Übergehe die Zertifikatsprüfung, wenn du weißt, daß dem Backupspeicher vertraut werden kann

[24unix]

4.Nimm einfach SFTP.

[Henning]

Die Ursache des Problems ist doch ziemlich eindeutig:

Code: Select all

failed to make FTP connection to "xxx:21": x509: certificate signed by unknown authority

Das bedeutet, daß das Zertifikat, welches beim Verbindungsaufbau von deinem Backupspeicher gesendet wird, nicht verifiziert werden kann.

Okay, das verstehe ich ja auch soweit. Dann muss ich evtl. noch hinzufügen, dass ein Login mit WinSCP, Cyberduck und dem nächtlichen Backup eines Plesk-Servers keine Fehlermeldungen bzgl. des Zertifikats bringen.

[Alexander]

Weitere Möglichkeiten:

Dein Server kennt die CA des Zertifikats nicht. Ggf. läuft bei deinem Server nicht regelmäßig:

Code: Select all

apt-get update && apt-get upgrade

Ohne das Zertifikat und dessen Aussteller und sonstige Zertifikatsdaten zu sehen lässt sich aber nur raten.
Folgender Befehl zum Anzeigen der notwendigen Informationen:

Code: Select all

openssl s_client -connect <FTP-SERVER-HOSTNAME>:21 -starttls ftp -servername <FTP-SERVER-HOSTNAME>

Welches OS läuft bei dir?

[Henning]

Guten Abend Alex,

auch dir vielen Dank für deine Hilfe. Bei mir läuft Debian 11.3 als 64bit.

Folgende Ausgabe erhalte ich zu deinem Code:

CONNECTED(00000003)
depth=0 CN = *.hostssl.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = *.hostssl.net
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = *.hostssl.net
verify return:1
---
Certificate chain
0 s:CN = *.hostssl.net
i:C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = *.hostssl.net

issuer=C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA

---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2183 bytes and written 450 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: D1A59734C06A4A536B12C21BEA08DC81E1244B9159F4AE2282B5423B1035A533
Session-ID-ctx:
Master-Key: 96FB009F527663F51952CBB8187FB09209D38A140FC416613AC782CD118D04DBFFC0199B0DC85ADE8511CF7C27C73723
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1649876444
Timeout : 7200 (sec)
Verify return code: 21 (unable to verify the first certificate)
Extended master secret: no
---
220 ProFTPD 1.3.5 Server (ftpstore01.hostssl.net) [84.19.26.8]

Wie kann ich am besten weiter vorgehen?

[Alexander]

Der FTP-Server ist fehl-konfiguriert. Die Zertifikatskette wird nicht korrekt zurückgegeben.

Wie kann ich am besten weiter vorgehen?

- Den Betreiber des Servers auf die Fehlkonfiguration hinweisen
- Auf SFTP o.Ä. wechseln, sofern das möglich ist.
- Ausnahme definieren (wie du es bereits im Eingangspost gemacht hast)
- Alternativen Backup-Speicher suchen

Dann muss ich evtl. noch hinzufügen, dass ein Login mit WinSCP, Cyberduck und dem nächtlichen Backup eines Plesk-Servers keine Fehlermeldungen bzgl. des Zertifikats bringen.

Dann wurde hier entweder eine Ausnahme definiert, z.B: auch mein FileZilla fragt mich, ob ich dieses unbekannte Zertifikat akzeptieren will, wenn ich mich mit ftpstore01.hostssl.net verbinden möchte, oder es wird garnicht auf gültige Zertifikatskette geprüft - wenn dem bei Plesk wirklich so sein sollte ...


Suchbegriffe für weitere Informationen auf Google: "unable to get local issuer certificate" oder "unable to verify the first certificate"