PDA

View Full Version : Fehler -1 bei FTPS


posthenn
21-10-16, 06:57
Hallo Zusammen

wir haben probleme mit FTPS .

FTP RMTSYS('xx.xxx.xx.xx') PORT(21)
SECCNN(*SSL) DTAPROT(*PRIVATE)


Beim Aufbau der Verbindung bekommen wir die Fehlermeldung .
Nachrichten-ID . . . . : TCP3D2C Bewertung: . . . . . . : 10

Nachricht . . . : Fehler bei sicherer Verbindung, Rückkehrcode -1.
Ursache . . . . : Secure Sockets Layer (SSL)-Funktion SSL_Handshake hat
Rückkehrcode -1 ausgegeben:
Wert Beschreibung
----- -----------------------------------------------------------
-1 Keine Ciphers verfügbar oder angegeben.

Nach Rückfrage bei dem Betreiber des FTPS Servers kam diese Antwort :

Am xx.xx.2016 wurde Ihr Server auf Debian Jessie umgestellt und seit diesem Datum unterstützt der Server TLS1.2. Ältere Ciphers werden seit der Umstellung teilweise nicht mehr unterstützt.

Unser System i hat Release V7R1 mit TR 11

TLS 1.2 ist schon aktiviert worden und im DCM auch bei FTP freigeschaltet .

Ein Test mit Filezilla(Windows) zu diesem Server war erfolgreich .

Leider funktioniert es von der "AS/400" nicht ?

Hat jemand eine Idee ?

Vielen Dank
Henning
andreaspr@aon.at
21-10-16, 08:13
Schau dir mal folgende Systemwerte an:
QSSLCSL
QSSLCSLCTL
QSSLPCL

Ansonsten kannst du im SST die SSL Config Prüfen
Select option 1 (Start a service tool).
Select option 4 (Display/Alter/Dump).
Select option 1 (Display/Alter storage).
Select option 2 (Licensed Internal Code (LIC) data).
Select option 14 (Advanced analysis).
Select option 1 (SSLCONFIG).
Enter -h

Zumindest bei 7.2 sind durch ein PTF einige Cipher deaktiviert worden, wodurch eine SSL Verbindung zu Systemen die nicht so sichere Zertifikate zur Verfügung stellen Verbindungsprobleme auftreten können.

lg Andreas
posthenn
24-10-16, 11:21
Hallo Andreas

Danke für die Info .

Systemwerte stehen wie folgt :

QSSLCSL:
10 *RSA_AES_128_CBC_SHA256
20 *RSA_AES_128_CBC_SHA
30 *RSA_RC4_128_SHA
40 *RSA_RC4_128_MD5
50 *RSA_AES_256_CBC_SHA256
60 *RSA_AES_256_CBC_SHA
70 *RSA_3DES_EDE_CBC_SHA
80 *RSA_DES_CBC_SHA
90 *RSA_EXPORT_RC4_40_MD5
100 *RSA_EXPORT_RC2_CBC_40_MD5
110 *RSA_NULL_SHA256
120 *RSA_NULL_SHA
130 *RSA_NULL_MD5

QSSLCSLCTL:
Chiffriersteuerung . . : *OPSYS

QSSLPCL:
Protokolle
*TLSV1.2
*TLSV1.1
*TLSV1
*SSLV3

Gibt es die Möglichkeit herauszufinden wo genau es klemmt ? Habe mal Tracedaten erstell , aber daraus kann ich leider nichts erkennen .

Vielen Dank
Henning