設(shè)置Xlight FTP SSL/TLS功能[ ]

Xlight FTP服務(wù)器可以和標準FTP協(xié)議一起使用SSL/TLS功能加密控制和數(shù)據(jù)通道. Xlight FTP服務(wù)器支持在SSL之上的兩種工作方式: "顯式SSL"以及"隱式SSL".

顯式SSL 是一種機制, 其中當FTP客戶端希望使用安全的加密控制連接時, 它需要顯式的發(fā)出AUTH命令例如 "AUTH TLS" 或 "AUTH SSL" 以初始化SSL握手過程并和FTP服務(wù)器之間建立安全的加密控制連接. AUTH命令必須在FTP客戶登錄之前發(fā)出. 如果FTP客戶端沒有發(fā)出AUTH命令,它和FTP服務(wù)器之間的控制連接將保持未加密狀態(tài).

隱式SSL 是另一種機制, 其中FTP服務(wù)器要求FTP客戶必須初始化SSL握手過程并和FTP服務(wù)器之間建立安全的加密控制連接, 加密控制連接建立之后FTP命令才能夠被送到FTP服務(wù)器. 如果FTP客戶不支持SSL功能,或它和服務(wù)器之間沒有建立安全的加密控制連接,FTP服務(wù)器將不對來自FTP客戶的命令做出任何反應(yīng).

在這個例子里,我們將演示如何在Xlight FTP服務(wù)器里使用SSL/TLS功能. 注意: 30-天試用期后,這個功能只被標準版和專業(yè)版的Xlight FTP服務(wù)器支持.

創(chuàng)建和選擇有效的服務(wù)器證書[ ]

使用SSL/TLS功能, 你需要做的第一件事是創(chuàng)建或選擇一個已有的X.509證書作為服務(wù)器證書. 這個證書可以是由有效CA簽發(fā)的實際證書,或者是自簽名證書.

Xlight FTP服務(wù)器使用的X.509服務(wù)期證書必須放在"本地計算機"的"個人"證書商店中. 這個證書位置和微軟IIS服務(wù)期使用的SSL證書在相同位置. 因此如果你有一個為IIS服務(wù)器使用的有效證書, 你可以很方便的將它同時用在Xlight FTP服務(wù)器上.

1. 到 [全局選項] -> [高級] -> [服務(wù)器SSL證書] 創(chuàng)建或選擇一個服務(wù)器證書. 在這個例子里我們已經(jīng)創(chuàng)建了一個自簽名證書,它的CN是 "test-cert", 我們選擇這個證書作為服務(wù)器證書,如下圖所示.

2. 到 [[[虛擬服務(wù)器]]設(shè)置] -> [通用] -> [啟用虛擬服務(wù)器SSL功能] 選擇需要使用的SSL方式. 在這個例子里,我們選擇隱式SSL,如下圖所示.

經(jīng)過上面步驟后, 你就完成了SSL/TLS功能的設(shè)置,可以使用服務(wù)器證書加密FTP服務(wù)器和FTP客戶端之間的控制和數(shù)據(jù)通道.

使用SSL客戶端認證(SSL client authentication)[ ]

Xlight FTP服務(wù)器支持SSL客戶端認證. SSL客戶端認證是另一種在FTP服務(wù)器端驗證客戶端身份的方式. 使用SSL客戶端認證后, 在SSL握手的過程中, FTP客戶端必須發(fā)送有效的X.509客戶端證書給FTP服務(wù)器. 客戶端證書包含用戶的信息, 它向FTP服務(wù)器證明客戶的身份.

1. 客戶端證書必須由受信任的CA頒發(fā), 你不能使用自簽名證書作為客戶端證書. 頒發(fā)客戶端證書的CA必須存在于服務(wù)器的證書商店"本地計算機"中的 受信任的根證書頒發(fā)機構(gòu)(Trusted Root Certificate Authorities)里. 否則客戶證書無法通過服務(wù)器端的認證. 如下圖微軟的mmc工具的證書快照所示.

2. SSL客戶端認證為隱式SSL模式支持. 到 [虛擬服務(wù)器設(shè)置] -> [通用] -> [啟用虛擬服務(wù)器SSL功能], 選擇"要求客戶端證書" 如下圖所示.

經(jīng)過上面步驟后, 你就可以使用SSL客戶端認證功能.

參考來源[ ]

• http://www.xlightftpd.com/cn/