home *** CD-ROM | disk | FTP | other *** search
/ Columbia Kermit / kermit.zip / newsgroups / misc.20021006-20030409 / 000369_curtis.steward@goodrich.com_Thu Mar 6 13:11:25 EST 2003.msg < prev    next >
Text File  |  2020-01-01  |  9KB  |  293 lines
  1. Article: 14166 of comp.protocols.kermit.misc
  2. Path: newsmaster.cc.columbia.edu!panix!bloom-beacon.mit.edu!newsfeed.stanford.edu!postnews1.google.com!not-for-mail
  3. From: curtis.steward@goodrich.com (Curtis Steward)
  4. Newsgroups: comp.protocols.kermit.misc
  5. Subject: Re: TLS HowTo Telnet/FTP
  6. Date: 6 Mar 2003 09:26:16 -0800
  7. Organization: http://groups.google.com/
  8. Lines: 274
  9. Message-ID: <f53f8c5c.0303060740.514c6150@posting.google.com>
  10. References: <f53f8c5c.0303041213.45f6bbe7@posting.google.com> <b4329a$300$1@watsol.cc.columbia.edu> <f53f8c5c.0303051052.327e975c@posting.google.com> <3E66D40A.1050402@nyc.rr.com>
  11. NNTP-Posting-Host: 207.180.255.121
  12. Content-Type: text/plain; charset=windows-1252
  13. Content-Transfer-Encoding: 8bit
  14. X-Trace: posting.google.com 1046971576 26207 127.0.0.1 (6 Mar 2003 17:26:16 GMT)
  15. X-Complaints-To: groups-abuse@google.com
  16. NNTP-Posting-Date: 6 Mar 2003 17:26:16 GMT
  17. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:14166
  18.  
  19. Error & Howto:
  20.  
  21. Enter certificate passphrase:
  22. [TLS - handshake starting]
  23. SSL_handshake:UNKWN  before/connect initialization
  24. SSL_connect:UNKWN  before/connect initialization
  25. SSL_connect:3WCH_A SSLv3 write client hello A
  26. SSL_write_alert
  27. SSL_connect:error in 3RSH_A SSLv3 read server hello A
  28. [TLS - SSL_connect error: error:1408F10B:SSL
  29. routines:SSL3_GET_RECORD:wrong version number
  30. [TLS - FAILED]
  31.  
  32. HOWTO
  33.  
  34. This HowTo is nonfunctional at the time of this writing.  It attempts
  35. to create a basic ?loopback test? via an OpenSSL certificate.
  36.  
  37. Localhost is client & server:    Redhat 8.0
  38. Kermit Client:            Kermit 8.0.208
  39. Kermit Server:            Kermit 8.0.208 (IKSD)
  40. Certificates:            RSA based, length 2048 (openssl genrsa)
  41. Status:    
  42.  
  43. Server configuration appears at fault with client tests to amazon for
  44. TLS appearing ok as suggested by:
  45.  
  46. http://www.columbia.edu/kermit/case21.html
  47.  
  48. Current testing yields a wrong SSL version to the IKSD, suspect
  49. incorrect cipher-list.  (?ALL:+RSA?).  It?s understood that TLS
  50. authentication rather than SSL should be pursued for certificate based
  51. communication with Kermit.
  52.  
  53. TLS STEP-BY-STEP
  54.  
  55. download <tarball>
  56. mkdir kermit
  57. cd kermit
  58. tar ?xvzf ../<tarball>
  59. make redhat80    
  60. cp ?p wermit /usr/local/bin/kermit
  61. cp ?p wermit /usr/sbin/iksd
  62. mkdir ~/.tlslogin
  63.  
  64. Place certs/keys, don't have password on servers' host cert.
  65.  
  66. chown ?R <user>:<user group~<user>/.tlslogin
  67. cp ?p $WS_NAME.crt ~<user>/.tlslogin
  68. ls /usr/local/ca/cacert.crt
  69.  
  70. /etc/init.d/xinetd.d stop
  71. /etc/init.d/xinetd.d start
  72.  
  73. netstat ?an | grep 1649
  74. tcp    0    0    0.0.0.0:1649    0.0.0.0:*    LISTEN
  75.  
  76.  
  77. kermit
  78.     show features
  79.     ?
  80.     Major optional features included:
  81.         Secure Sockets Layer (SSL)
  82.         Transport Layer Security (TLS)
  83.         ?
  84.     iks /user:anonymous /pass:user@host kermit.columbia.edu        #basic test    
  85.     set host www.amazon.com https /ssl            #should get [TLS-OK]
  86.         
  87.     set host /connect <host> 1649 /tls-telnet
  88.  
  89. /ETC/XINETD.D/KERMIT
  90.  
  91. # default: on
  92. #        server_args     = -A --syslog:6 --database:off
  93. service kermit
  94. {
  95.     socket_type    = stream        
  96.     wait        = no
  97.     user        = root
  98.     server        = /usr/sbin/iksd
  99.             server_args     = -A 
  100.     disable        = no
  101. }
  102.  
  103. /ETC/IKSD.CONF
  104.  
  105. ;log debug /root/iksd.debug.\v(pid).log
  106.  
  107. set auth tls rsa-cert-file /root/.tlslogin/c.crt
  108. set auth tls rsa-key-file /root/.tlslogin/c.unp
  109. set auth tls verify-dir /usr/local/ca
  110. set auth tls verify-file /usr/local/ca/cacert.pem
  111.  
  112. set telopt /server start-tls required
  113. set telopt /server auth refused
  114. set telopt /server encrypt refused refused
  115. set telopt /server new-environment required
  116. set auth tls cipher-list ALL:+RSA
  117. set auth tls verify peer-cert
  118.  
  119. KERMIT CLIENT STARTUP
  120.  
  121. #!/usr/local/bin/kermit +
  122. set auth tls rsa-cert-file w.crt                       ;personal cert pem
  123. set auth tls rsa-key-file work_priv.pem                ;personal key pem
  124. set auth tls verify-dir /usr/local/ca                      ;CA directory
  125. set auth tls verify-file /usr/local/ca/cacert.pem      ;CA cert pem
  126. w/hash?
  127. set auth tls verify peer-cert
  128. set login userid stewarcm
  129. set telopt start-tls required
  130.  
  131. set auth tls verbose on
  132. set auth tls debug on
  133. set telnet debug on
  134.  
  135. TLS TELNET RESULTS
  136.  
  137. C-Kermit>set host /connect <host> 1649 /tls-telnet
  138.  DNS Lookup...  Trying 149.223.210.203... (OK)
  139. SSL_DEBUG_FLAG on
  140. SSL/TLS init done!
  141. Loading RSA certificate into SSL
  142. Enter certificate passphrase:
  143. [TLS - handshake starting]
  144. SSL_handshake:UNKWN  before/connect initialization
  145. SSL_connect:UNKWN  before/connect initialization
  146. SSL_connect:3WCH_A SSLv3 write client hello A
  147. SSL_write_alert
  148. SSL_connect:error in 3RSH_A SSLv3 read server hello A
  149. [TLS - SSL_connect error: error:1408F10B:SSL
  150. routines:SSL3_GET_RECORD:wrong version number
  151. [TLS - FAILED]
  152. TELNET SENT DO LOGOUT
  153. Can't open connection to <host>:1649
  154.  
  155. "Jeffrey Altman [Road Runner NYC]" <jaltman2@nyc.rr.com> wrote in message news:<3E66D40A.1050402@nyc.rr.com>...
  156. > Curtis Steward wrote:
  157. > >  
  158. > > Frank,
  159. > > 
  160. > > My main question at the time would be what instructions would be
  161. > > necessary in the iksd.conf file to make TLS for telnet available (see
  162. > > below) after successfully entering the passphrase?
  163. > > 
  164. > > For what it's worth, here's my HowTo draft, though it doesn't work :) 
  165. > > The scenario here is as basic to the "loopback test" for a connection
  166. > > that I can make it in hopes that it can be used to address varying
  167. > > scenario's.  I'd suggest a case study on your site for others, if I
  168. > > get this working I'll contrib a copy.  Key/Cert detail and generation
  169. > > could be provided as well  and I'm using .tlslogin to avoid changing
  170. > > code and not depend on a single field.  There's a lot of interest in
  171. > > the Open Source world for x509 host to host Communication, and I
  172. > > believe Kermit offers up one of the best possibilities.
  173. > > 
  174. > > Regards,
  175. > > 
  176. > > cs
  177. > > 
  178. > > STEP-BY-STEP
  179. > > 
  180. > > download <tarball>
  181. > > mkdir kermit
  182. > > cd kermit
  183. > > tar ?xvzf ../<tarball>
  184. > > make redhat80    
  185. > > cp ?p wermit /usr/local/bin/kermit
  186. > > cp ?p wermit /usr/sbin/iksd
  187. > > mkdir ~/.tlslogin
  188. > > 
  189. > > Place certs/keys, don't have password on servers' host cert.
  190. > > 
  191. > > chown ?R <user>:<user group> ~<user>/.tlslogin
  192. > > cp ?p $WS_NAME.crt ~<user>/.tlslogin
  193. > > ls /usr/local/ca/cacert.crt
  194. > > 
  195. > > /etc/init.d/xinetd.d stop
  196. > > /etc/init.d/xinetd.d start
  197. > > 
  198. > > netstat ?an | grep 1649
  199. > > tcp    0    0    0.0.0.0:1649    0.0.0.0:*    LISTEN
  200. > > 
  201. > > 
  202. > > kermit
  203. > >     show features
  204. > >     ?
  205. > >     Major optional features included:
  206. > >         Secure Sockets Layer (SSL)
  207. > >         Transport Layer Security (TLS)
  208. > >         ?
  209. > >     set host www.amazon.com https /ssl
  210. > >     iks /user:anonymous /pass:user@host kermit.columbia.edu
  211. > >     
  212. > >     iks <host>
  213. > > 
  214. > > /ETC/XINETD.D/KERMIT
  215. > > 
  216. > > # default: on
  217. > > #        server_args     = -A --syslog:6 --database:off
  218. > > service kermit
  219. > > {
  220. > >     socket_type    = stream        
  221. > >     wait        = no
  222. > >     user        = root
  223. > >     server        = /usr/sbin/iksd
  224. > >         server_args     = -A 
  225. > >     disable        = no
  226. > > }
  227. > > 
  228. > > /ETC/IKSD.CONF
  229. > > 
  230. > > log debug /root/iksd.debug.\v(pid).log
  231. > > 
  232. > > set auth tls rsa-cert-file /root/.tlslogin/c.crt
  233. > > set auth tls rsa-key-file /root/.tlslogin/c.unp
  234. > > set auth tls verify-dir /usr/local/ca
  235. > > set auth tls verify-file /usr/local/ca/cacert.pem
  236. > SET TELOPT /SERVER START-TLS REQUIRED
  237. > SET TELOPT /SERVER AUTH REFUSED
  238. > SET TELOPT /SERVER ENCRYPT REFUSED REFUSED
  239. > SET TELOPT /SERVER NEW-ENVIRONMENT REQUIRED
  240. > SET AUTH TLS CIPHER-LIST <list based upon the type of certificates RSA 
  241. > or DSS that you are using>
  242. > SET AUTH TLS VERIFY PEER-CERT
  245. > > KERMIT CLIENT STARTUP
  246. > > 
  247. > > #!/usr/local/bin/kermit +
  248. > > set auth tls rsa-cert-file w.crt                  ;personal cert pem
  249. > > set auth tls rsa-key-file work_priv.pem          ;personal key pem
  250. > > set auth tls verify-dir /usr/local/ca            ;CA directory
  251. > > set auth tls verify-file /usr/local/ca/cacert.pem  ;CA cert pem w/hash
  252. > > set auth tls verify peer-cert
  253. > > set login userid <user>
  254. > > set telopt start-tls required
  255. > > set auth tls verbose on
  256. > > set auth tls debug on
  257. > > set telnet debug on
  258. > > 
  259. > > TLS TELNET RESULTS
  260. > > 
  261. > > SSL_handshake:SSLOK  SSL negotiation finished successfully
  262. > > TLS client finished: 27 7C CD CA 0B 7E 7E F8 FB C9 6E 66
  263. > > TLS server finished: 3E EC EF 93 1F 2D 8D 09 07 2B 7B A2
  264. > > [TLS - OK]
  265. > > [TLS - EDH-RSA-DES-CBC3-SHA    SSLv3 Kx=DH       Au=RSA  Enc=3DES(168)
  266. > > Mac=SHA1
  267. > > Compression: run length compression
  268. > > [TLS - subject=/C=US/ST=?detail?]
  269. > > [TLS - issuer=/C=US/O=?detail?]
  270. > > TELNET SENT WILL AUTHENTICATION
  271. > > TELNET SENT WILL NAWS
  272. > > TELNET SENT WILL TERMINAL-TYPE
  273. > > TELNET SENT WILL NEW-ENVIRONMENT
  274. > > TELNET SENT WILL COM-PORT-CONTROL
  275. > > <wait for outstanding negotiations>
  276. > > TELNET RCVD DO AUTHENTICATION
  277. > > TELNET RCVD DO NAWS
  278. > > TELNET RCVD WILL SUPPRESS-GO-AHEAD
  279. > > TELNET SENT DO SUPPRESS-GO-AHEAD
  280. > > TELNET RCVD DO SUPPRESS-GO-AHEAD
  281. > > TELNET SENT WILL SUPPRESS-GO-AHEAD
  282. > > TELNET RCVD WILL ECHO
  283. > > TELNET SENT DO ECHO
  284. > > TELNET RCVD DO NEW-ENVIRONMENT
  285. > > TELNET RCVD SB AUTHENTICATION SEND  IAC SE
  286. > > TELNET SENT SB AUTHENTICATION IS NULL NULL IAC SE
  287. > > Authentication failed: No authentication method available
  288. > > TELNET SENT WONT AUTHENTICATION
  289. > > TELNET RCVD DONT TERMINAL-TYPE
  290. > > TELNET RCVD SB NEW-ENVIRONMENT SEND  IAC SE
  291. > > TELNET RCVD DONT COM-PORT-CONTROL
  292. > > <no outstanding negotiations>
  293.