FTP prek SSL (FTPS) v sistemu Windows Server 2012 R2

Ena glavnih pomanjkljivosti protokola FTP za prenos datotek - pomanjkanje varnosti in šifriranje poslanih podatkov. Uporabniško ime in geslo, ko se povežete s strežnikom FTP, se tudi v jasnem besedilu preneseta. Za prenos podatkov (zlasti prek javnih komunikacijskih kanalov) je priporočljivo uporabljati varnejše protokole, kot sta FTPS ali SFTP. Razmislite, kako nastaviti FTPS Server, ki temelji na sistemu Windows Server 2012 R2.

FTPS protokol (FTP preko SSL / TLS, FTP + SSL) - je razširitev standardnega protokola FTP, vendar je povezava med odjemalcem in strežnikom zavarovana (šifrirana) s protokoli SSL / TLS. Običajno se za povezavo uporabljajo enaka vrata 21..

Opomba. Ne zamenjujte FTPS s SFTP (Secure FTP ali SSH FTP). Slednje je razširitev protokola SSH, ki nima nobene zveze s FTP.

Vsebina:

  • Namestitev vloge strežnika FTP
  • Izdelava in namestitev certifikata IIS SSL
  • Izdelamo spletno mesto FTP s podporo za SSL
  • FTPS in požarni zidovi
  • Testiranje FTP prek SSL povezave

Podpora FTP prek SSL je bila uvedena v IIS 7.0 (Windows Server 2008). Za delovanje strežnika FTPS bo IIS moral namestiti SSL potrdilo na spletni strežnik IIS.

Namestitev vloge strežnika FTP

Namestitev vloge strežnika FTP na Windows Server 2012 ne povzroča težav in je bila opisana že večkrat.

Izdelava in namestitev certifikata IIS SSL

Nato odprite konzolo IIS Manager, izberite strežnik in pojdite na razdelek Potrdila strežnika.

V tem razdelku lahko uvozite potrdilo, ustvarite zahtevo po certifikatu, obnovite potrdilo ali ustvarite potrdilo s samopodpisom. Za predstavitvene namene se bomo osredotočili na potrdilo s samopodpisom (ustvari ga lahko tudi z ukaznim ukazom New-SelfSifgnedCertificate). Ko dostopate do storitve, se prikaže opozorilo, da je potrdilo izdal nezaupljivi CA, če želite onemogočiti to opozorilo za to potrdilo, ga lahko dodate zaupnikom prek GPO.

Izberite Ustvari samopodpisano potrdilo.

V čarovniku za ustvarjanje potrdila navedite njegovo ime in izberite vrsto certifikata Spletno gostovanje.

Samopodpisano potrdilo mora biti prikazano na seznamu razpoložljivih certifikatov. Veljavnost certifikata - 1 leto.

Izdelamo spletno mesto FTP s podporo za SSL

Nato morate ustvariti spletno mesto FTP. V konzoli IIS kliknite voznik RMB na vozlišču Sites in ustvarite novo spletno mesto FTP (Dodaj FTP).

Določite ime in pot do korenskega imenika spletnega mesta FTP (imamo privzeti imenik C: \ inetpub \ ftproot).

Na naslednjem koraku čarovnika v razdelku s potrdili SSL izberite potrdilo, ki smo ga ustvarili.

Ostaja še izbira vrste preverjanja pristnosti in pravic dostopa uporabnika.

Namig. Če mora imeti vsak uporabnik lasten korenski imenik FTP, lahko uporabite navodila za izdelavo strežnika FTP z izolacijo uporabnika.

Ta zaključi čarovnika. Privzeto je potrebna zaščita SSL in se uporablja za šifriranje obeh ukazov upravljanja in poslanih podatkov..

FTPS in požarni zidovi

Pri uporabi protokola FTP se uporabljata 2 različni povezavi TCP, ukazi se prenašajo drug za drugim, podatki za drugim. Vsak podatkovni kanal odpre lastna vrata TCP, katerih število izbere strežnik ali odjemalec. Večina požarnih zidov omogoča vpogled v FTP promet in analizo le-tega samodejno odprete potrebna vrata. Ko uporabljate varen FTPS, so preneseni podatki zaprti in jih ni mogoče analizirati, zato požarni zid ne more določiti, katera vrata je treba odpreti za prenos podatkov.

Da ne bi odprli celotnega obsega vrat TCP 1024-65535 zunaj FTPS strežnika, lahko prisilite strežnik FTP, da uporablja obseg uporabljenih naslovov. Obseg je določen v nastavitvah spletnega mesta IIS v razdelku FTP Požarni zid Podpora.

Po spremembi obsega vrat morate storitev znova zagnati (iisreset).

V vgrajenem požarnem zidu sistema Windows bodo za dohodni promet odgovorna pravila:

  • FTP strežnik (FTP Traffic-In)
  • FTP pasivni strežnik (FTP pasivni promet)
  • Zaščiten strežnik FTP (FTP SSL Traffic-In)

V skladu s tem boste morali na zunanjem požarnem zidu odpreti vrata 21, 990 in 50000-50100 (razpon vrat, ki smo jih izbrali).

Testiranje FTP prek SSL povezave

Če želite preskusiti povezavo prek FTPS, uporabite odjemalca Filezilla.

  1. Teči Filezilla (ali katero koli drugo stranko, ki podpira FTPS).
  2. Kliknite Datoteka > Spletna stran Manager, in ustvarite novo povezavo (Novo Spletno mesto).
  3. Vnesite naslov strežnika FTPS (Gostitelj), vrsta protokola (Zahtevaj izrecno FTP čez TLS), uporabniško ime (uporabniško polje) in zahtevo, da zahtevate geslo za avtorizacijo (Vprašaj za geslo)
  4. Pritisnite gumb Povežite se in vnesite uporabniško geslo.
  5. Prikaže se opozorilo o nezaupljivem certifikatu (če uporabljate samopodpisano potrdilo). Potrdite povezavo.
  6. Povezava je treba vzpostaviti in vrstice naj se pojavijo v dnevniku:

    Status: Inicializacija TLS ...
    Status: Preverjanje potrdila ...
    Stanje: vzpostavljena je povezava TLS.

  7. To pomeni, da je vzpostavljena varna povezava in datoteke lahko prenašate s pomočjo FTPS