IIS 7.0 – Служба публикации FTP – часть 3: защита FTP сайта

Published on Февраль 24, 2009 by   ·   Комментариев нет

Введение

В этой части серии статей речь пойдет о различных сценариях настройки безопасности на сайте FTP с помощью SSL сертификата в новой службе публикации FTP для IIS 7.0. Предварительным условием этой статьи является требование, чтобы служба публикации FTP уже была установлена на Windows Server 2008 и FTP сайт уже был настроен. Чтобы посмотреть, как это делается, обратитесь к первой и второй части этой серии. Эта часть будет содержать две основные темы конфигурации, каждая из которых будет состоять из собственных разделов:

  • Как настраивать защищенный FTP сайт с помощью коммерческого SSL сертификата
  • Как настраивать защищенный FTP сайт с помощью самоподписного (self-signed) SSL сертификата

Новая служба публикации FTP для IIS 7.0 поддерживает добавление SSL сертификата на FTP сайт. Использование SSL сертификата на FTP сайте также известно под названием FTP-S или FTP через Secure Socket Layers (SSL). FTP-S представляет собой RFC стандарт (RFC 4217), в котором SSL сертификат добавляется на FTP сайт, позволяя тем самым выполнять защищенную передачу файлов с помощью уровня TLS (SSL) за протоколом FTP. Используя SSL, передача FTP шифруется и защищается от точки к точке, а весь трафик FTP, таким образом, защищен от перехвата.

Требованием к пользователям будет использование FTP клиента, который способен подключаться к FTP сайту, используя FTP-S. Примерами FTP клиентов с поддержкой FTP-S могут быть бесплатный FTP клиент FileZilla или коммерческий FTP клиент CuteFTP.

Настройка защищенного FTP сайта с использованием коммерческого SSL сертификата

Ниже я опишу, как защищать существующий FTP сайт с помощью SSL сертификата. Сертификат, изданный и используемый ниже, будет создан во внутреннем центре сертификации (internal Certificate Authority), установленный только в целях тестирования, но процесс регистрации протокола на сервере будет одинаков с процессом, когда сертификат заказывается у стороннего поставщика, например Verisign или Godaddy. Можно также создавать самоподписной сертификат непосредственно в IIS, этот процесс будет описано позже в этой статье.

Убедитесь, что ваш FTP работает и что вы можете войти на этот FTP сайт. FTP сайт, используемый в этой статье будет ftp.example.com, как показано ниже.

  1. Запустите диспетчера IIS Manager, расположенного в меню Пуск — Администрирование — Internet Information Service (IIS) Manager
  2. В диспетчере IIS Manager нажмите на FTP сервер, выделите его и выберите сертификаты сервера (Server Certificates):

    Iis 7.0. служба FTP

    Рисунок A: Сертификаты сервера

  1. В панели действий выберите опцию Создать запрос сертификата (Create Certificate Request)
  1. В появившемся диалоговом окне заполните необходимую информацию о сертификате и нажмите Далее:
  1. Выберите стандартного поставщика услуг криптографии (default cryptographic service provider) и нажмите Далее:
  1. Сохраните запрос в файл и нажмите Закончить:

Запрос сертификата был выполнен и рассматривается в IIS. Теперь запрос готов к отправке коммерческому стороннему поставщику сертификатов (например, Verisign, Godaddy и т.д.).

Импортирование запроса сертификата

Когда запрос сертификата возвращается от поставщика сертификатов, его нужно импортировать в IIS для работы.

  1. В диспетчере IIS Manager нажмите на сервере FTP и выберите сертификаты сервера:

    Защита FTP Windows 2003

    Рисунок B: IIS Manager – Сертификаты сервера

  1. Выберите опцию Завершить запрос сертификата (Complete Certificate Request):
  1. Выберите Запрос сертификата, который вернулся от поставщика сертификатов, и введите общее имя сайта, а затем нажмите OK:
  1. Теперь сертификат будет отображен в диспетчере IIS Manager и готов к использованию:

Включение коммерческого сертификата на FTP сайте

После импортирования SSL сертификат может быть включен и применен к FTP сайту. Перейдите на FTP сайт, на котором вы хотите использовать сертификат.

  1. В диспетчере IIS Manager выберите FTP сайт и нажмите Параметры FTP SSL:

    FTP ssl win2008r2

    Рисунок C: FTP сайт – Параметры FTP SSL

  1. Выберите сертификат и параметры SSL политики (Разрешить или требовать SSL — Allow or Required SSL) и нажмите Применить:
  1. Теперь SSL сертификат применен к FTP сайту:

Теперь FTP сайт защищен и требует FTP-S подключения к FTP сайту с помощью FTP клиента с поддержкой FTP-S.

Настройка защищенного FTP сайта с помощью самоподписного сертификата SSL

Как говорилось выше, всегда можно создать самоподписной (self-signed) SSL сертификат непосредственно в Internet Information Services (IIS) Manager. Этот процесс быстрее по сравнению с запросом сертификата у стороннего поставщика. Самоподписные сертификаты отлично подходят для тестирования FTP сайтов или внутреннего использования, но их не рекомендуется использовать в производстве.

  1. Запустите диспетчера IIS Manager, расположенного в меню Пуск — Администрирование — Internet Information Service (IIS) Manager
  2. В IIS Manager нажмите FTP сервер и выберите сертификаты сервера:

    Сертификат на фтп

    Рисунок D: Сертификаты сервера

  1. В панели действий выберите опцию Создать самоподписной сертификат (Create Self-Signed Certificate):
  1. В появившемся диалоговом окне дайте сертификату имя и нажмите OK:
  1. Сертификат создан и готов к использованию:

Следующим шагом будет применение и включение этого сертификата на сайте FTP.

  1. Выберите FTP сайт (в этом примере: ftp.example.com) и нажмите Параметры FTP SSL:
  1. Выберите сертификат и нужные параметры (Требовать SSL подключения), затем нажмите применить:

Теперь FTP сайт готов к использованию и весь трафик будет зашифрован. Для подключения к FTP сайту сейчас требуется клиент с поддержкой FTPs.

Подключение к FTP сайту

Используйте FTP клиента с поддержкой FTP-S для подключения к FTP сайту, чтобы протестировать подключение. В нижеприведенном примере используется FileZilla. Очень важно настроить параметры FTP сервера на клиенте FileZilla на использование FTPs для подключения, поэтому параметры FileZilla будут «FTPES — FTP over explicit TLS/SSL».

Iis защита с помощью сертификата клиента

Рисунок E: FileZilla — FTPS параметры

При первом входе на FTP сайт с самоподписным сертификатом FTP клиент (FileZilla) скажет вам, что издатель сертификата неизвестен. Если вы доверяете ему и хотите его импортировать, нажмите OK.

Теперь FTP сайт готов к использованию в защищенном виде.

Заключение

Благодаря новой службе публикации Microsoft FTP Publishing Service стало возможным устанавливать защищенное FTP решение на основе продукта Microsoft, с интеграцией Internet Information Services и Active Directory. Все FTP коммуникации теперь можно шифровать, так как служба публикации FTP для IIS 7.0 поддерживает FTP-S (FTP по SSL), FTP-S – это стандарт RFC (RFC 4217) для шифрования FTP трафика.

Шифрование FTP трафика можно выполнять с помощью коммерческого или самоподписного SSL сертификата. Все настройки осуществляются на сервере. Клиентам, подключающимся к новому защищенному сайту FTP нужно использовать FTP клиентов, которые поддерживают FTP-S.

Эта заключительная часть серии статей о новой службе публикации FTP для Internet Information Services 7.0 (IIS 7.0).

www.windowsnetworking.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]