鍵ファイルは rsa_private_key_file で指定できる。

rsa_private_key_file=/PATH/TO/server.key

証明書は、中間証明書を指定する機能がないため、
2つのファイルをくっつけたものを用意してそれを証明書として指定する。
順番は 証明書→中間証明書 の順。

cat <証明書> <中間証明書> > hoge.crtccrt

rsa_cert_file=/PATH/TO/hoge.crtccrt

あとは直感的に設定できる。

ssl_enable=YES
ssl_tlsv1=YES
force_local_logins_ssl=NO
force_local_data_ssl=NO
allow_anon_ssl=NO

explicitモードで、PASVでやることになるはず。 PASVに使うポートも相応しいものを指定しておく。

pasv_min_port=20000
pasv_max_port=21000