Jednou z hlavných nevýhod protokolu FTP na prenos súborov - nedostatok bezpečnosti a šifrovanie prenášaných údajov. Meno používateľa a heslo pri pripájaní k FTP serveru sa prenášajú aj v čistom texte. Na prenos údajov (najmä prostredníctvom verejných komunikačných kanálov) sa odporúča používať bezpečnejšie protokoly, ako napríklad FTPS alebo SFTP. Zvážte, ako nastaviť FTPS server založený na Windows Server 2012 R2.
Protokol FTPS (FTP cez SSL / TLS, FTP + SSL) - je rozšírením štandardného protokolu FTP, ale spojenie medzi klientom a serverom je zabezpečené (šifrované) pomocou protokolov SSL / TLS. Na pripojenie sa zvyčajne používa rovnaký port 21..
poznámka. Nezamieňajte si FTPS s SFTP (Secure FTP alebo SSH FTP). Posledne menované predstavuje rozšírenie protokolu SSH, ktorý nemá nič spoločné s FTP.obsah:
- Inštalácia úlohy servera FTP
- Generovanie a inštalácia certifikátu IIS SSL
- Vytvárame FTP server s podporou SSL
- FTPS a firewally
- Testovanie FTP cez SSL pripojenie
Podpora FTP cez SSL bola zavedená v IIS 7.0 (Windows Server 2008). Aby server FTPS fungoval, služba IIS bude musieť nainštalovať certifikát SSL na webový server IIS.
Inštalácia úlohy servera FTP
Inštalácia úlohy servera FTP v systéme Windows Server 2012 nespôsobuje problémy a bola opísaná viackrát.
Generovanie a inštalácia certifikátu IIS SSL
Potom otvorte konzolu Správca služby IIS, vyberte server a prejdite do sekcie Certifikáty servera.
Táto časť vám umožňuje importovať certifikát, vytvoriť žiadosť o certifikát, obnoviť certifikát alebo vytvoriť certifikát s vlastným podpisom. Pre demonštračné účely sa zameriame na certifikát s vlastným podpisom (môže sa vytvoriť aj pomocou rutiny cmdlet New-SelfSifgnedCertificate). Pri prístupe k službe sa objaví varovanie, že certifikát bol vydaný nedôveryhodnou CA. Ak chcete toto upozornenie pre tento certifikát vypnúť, môžete ho pridať k dôveryhodným prostredníctvom GPO..
výberom Vytvorte certifikát s vlastným podpisom.
V sprievodcovi vytvorením certifikátu zadajte jeho názov a vyberte typ certifikátu Webhosting.
Certifikát s vlastným podpisom by sa mal objaviť v zozname dostupných certifikátov. Platnosť osvedčenia - 1 rok.
Vytvárame FTP server s podporou SSL
Ďalej musíte vytvoriť server FTP. V konzole IIS kliknite na uzol Sieť na RMB a vytvorte nový server FTP (Pridať FTP).
Zadajte názov a cestu do koreňového adresára servera FTP (máme predvolený adresár C: \ inetpub \ ftproot).
V ďalšom kroku sprievodcu vyberte v sekcii Certifikáty SSL certifikát, ktorý sme vytvorili.
Zostáva zvoliť typ autentifikácie a prístupových práv používateľov.
Týmto sa ukončí sprievodca. Štandardne je vyžadovaná ochrana SSL a používa sa na šifrovanie príkazov na správu a prenášaných údajov..
FTPS a firewally
Pri použití protokolu FTP sa používajú 2 rôzne spojenia TCP, príkazy sa prenášajú jeden po druhom, údaje druhým. Každý dátový kanál otvára svoj vlastný port TCP, ktorého číslo vyberie server alebo klient. Väčšina brán firewall vám umožní skontrolovať prenos FTP a po analýze automaticky otvoriť potrebné porty. Pri použití zabezpečeného FTPS sú prenášané údaje uzavreté a nedajú sa analyzovať, takže firewall nemôže určiť, ktorý port by sa mal otvoriť na prenos údajov..
Aby ste neotvorili celý rozsah portov TCP 1024-65535 mimo servera FTPS, môžete prinútiť server FTP, aby použil rozsah použitých adries. Rozsah je uvedený v nastaveniach lokality IIS v tejto časti FTP firewall podpora.
Po zmene rozsahu portov musíte reštartovať službu (iisreset).
Vo vstavanej bráne Windows Firewall budú pravidlá zodpovedné za prichádzajúcu komunikáciu:
- FTP server (FTP Traffic-In)
- FTP server pasívny (FTP pasívny prenos)
- FTP server zabezpečený (FTP SSL prenos)
Preto na externom firewalle budete musieť otvoriť porty 21, 990 a 50000-50100 (rozsah portov, ktoré sme vybrali).
Testovanie FTP cez SSL pripojenie
Na otestovanie pripojenia pomocou FTPS použite klienta Filezilla.
- štart FileZilla (alebo akýkoľvek iný klient s povoleným FTPS).
- lis súbor > site manažér, a vytvoriť nové pripojenie (nový site).
- Zadajte adresu servera FTPS (hostiteľ), typ protokolu (vyžadovať výslovný FTP cez TLS), používateľské meno (pole používateľa) a požiadavka požadovať heslo na autorizáciu (žiadať pre heslo)
- Stlačte tlačidlo pripojiť a zadajte heslo používateľa.
- Malo by sa zobraziť varovanie o nedôveryhodnom certifikáte (pri použití certifikátu podpísaného vlastníkom). Potvrďte pripojenie.
- Spojenie by malo byť nadviazané a riadky by sa mali objaviť v denníku:
Stav: Inicializácia TLS ...
Stav: Overuje sa certifikát ...
Stav: nadviazané pripojenie TLS. - To znamená, že je nadviazané zabezpečené pripojenie a súbory môžete prenášať pomocou FTPS
