FileZilla - 主连接和数据连接证书不匹配

我的一位客户最近开始在FileZilla 客户端软件（在 Windows 7 上）连接到我的 FTP 服务器时（Ipswitch 的 WS_FTP 服务器）。在介绍我迄今为止所做的故障排除工作之前，请先了解关于此问题的几点：

• 这是我的客户中唯一一个遇到（或至少报告）这个问题的人，我知道还有其他客户在使用FileZilla 客户端软件。
• 我用FileZilla 客户端软件本身并无法重现连接到同一服务器的错误。
• 此错误最近才开始出现（最近几天内）。在此之前，用户可以连接到同一服务器而不会出现错误。
• 这WS_FTP 服务器日志显示用户成功连接，但没有显示任何表明该连接存在问题的错误。

为了解决这个问题，我尝试了以下方法：

1. 已验证我的 FTP 服务器的 SSL 证书仍然有效（大约 10 个月后到期）。
2. 审查了有关 SSL/TLS 的所有设置WS_FTP 服务器配置。
3. 验证用户的连接设置FileZilla 客户端软件，通过将它们与我的站点管理器中的设置进行比较。
4. 按照以下几篇帖子的说明FileZilla 论坛，通过重命名文件trustedcerts.xml（%APPDATA%\FileZilla\trustedcerts.xml）并允许FileZilla 客户端软件来重新创建它。
5. 更新了用户的FileZilla 客户端软件至最新版本。

我已经转发了这些信息FileZilla 论坛页面，但因为我知道问题可能是客户端软件、用户网络中的某些东西，甚至是我的服务器中的某些东西，所以我想稍微扩大一下范围。目前，我不确定还要看什么，我希望有人至少能给我指出正确的方向。我倾向于认为用户网络上的某些东西可能导致了这个问题，但在我“责怪”另一个 IT 部门之前，我想尝试获取一些证据。如果您能提供任何帮助，我将不胜感激。

更新：我连接到客户的工作站并检查了@Martin Prikryl在评论中。我发现客户端正在使用域控制的安装Webroot SecureAnywhere® 商业端点保护软件。他们仍然无法连接，所以这次我从主FileZilla 客户端窗户：

Status: Resolving address of ftp.company.com
Status: Connecting to XX.XX.XX.86:21...
Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.
Status: Logged in
Status: Retrieving directory listing...
Status: Server sent passive reply with unroutable address. Using server address instead.
Command:    MLSD
Response:   150 Transferring directory
Error:  Primary connection and data connection certificates don't match.
Error:  Transfer connection interrupted: ECONNABORTED - Connection aborted
Response:   226 Transfer completed
Error:  Failed to retrieve directory listing

另外，我比较了他的机器和我的机器的证书详细信息。这是我的机器的屏幕截图证书详细信息对话：

这是他的截图证书详细信息对话：

我删除了图片中的 URL，但它们都是匹配的。指纹价值观和细节证书颁发者阻止，但显然存在一些差异。我让用户暂时禁用他们的 Webroot 保护（幸运的是，他的 IT 部门有人在那里帮助我们），然后重试。不幸的是，同样的问题出现了，当我再次检查证书时，与我电脑上列出的证书相比，它仍然显示出同样的差异。

他们的 IT 人员还尝试在同一网络上的另一台 PC 上从全新安装的 FileZilla 客户端软件进行连接。该连接导致相同的错误。我建议在连接到另一个网络（如手机的 WiFi 热点）的笔记本电脑上配置 FileZilla 客户端软件，看看问题是否仍然存在，但他们还没有机会这样做。

我们的 SSL 证书是COMODO PositiveSSL 证书，所以现在我只需要确定是什么原因导致他的系统/网络选择 Fortinet 作为颁发者。

编辑：一时兴起，我在 FileZilla 客户端中建立了一个新连接，并明确指定了上面发布的用户连接日志中的 IP 地址，只是为了确保方式我正在连接。我没有收到任何错误，我的证书详细信息对话框显示的内容与之前相同（除了主机被列为 IP 地址而不是 DNS 名称）。以下是我最近一次会话的日志：

13:35:44    Status: Connecting to XX.XX.XX.86:21...
13:35:44    Status: Connection established, waiting for welcome message...
13:35:44    Status: Initializing TLS...
13:35:44    Status: Verifying certificate...
13:35:44    Status: TLS connection established.
13:35:45    Status: Logged in
13:35:45    Status: Retrieving directory listing...

更新 #2：我刚刚接到客户的回电，告知我他的 IT 部门已找到问题原因，并已在内部做出更改，以使他的连接正常运行。以下是摘要：

一年多以前，我们公司更改了 FTP 服务器的 IP 地址。当时，我们向所有客户和合作伙伴发送了一封电子邮件“群发”通知，告知他们这一更改。然而，显然该客户的 IT 部门没有收到该通知，因为他们无法识别该 IP 地址，并且防火墙中没有允许该流量的适当规则。

它已经运行了一年多而没有出现错误，这一事实仍然让我有些困惑，但只要它现在能正常工作，我就会放手（现在）。我稍后会发布故障排除摘要作为答案，但我必须回去工作了。