IIS 7.0 – Служба публикации FTP – часть 3: защита FTP сайта

Введение

В этой части серии статей речь пойдет о различных сценариях настройки безопасности на сайте FTP с помощью SSL сертификата в новой службе публикации FTP для IIS 7.0. Предварительным условием этой статьи является требование, чтобы служба публикации FTP уже была установлена на Windows Server 2008 и FTP сайт уже был настроен. Чтобы посмотреть, как это делается, обратитесь к первой и второй части этой серии. Эта часть будет содержать две основные темы конфигурации, каждая из которых будет состоять из собственных разделов:

• Как настраивать защищенный FTP сайт с помощью коммерческого SSL сертификата
• Как настраивать защищенный FTP сайт с помощью самоподписного (self-signed) SSL сертификата

Новая служба публикации FTP для IIS 7.0 поддерживает добавление SSL сертификата на FTP сайт. Использование SSL сертификата на FTP сайте также известно под названием FTP-S или FTP через Secure Socket Layers (SSL). FTP-S представляет собой RFC стандарт (RFC 4217), в котором SSL сертификат добавляется на FTP сайт, позволяя тем самым выполнять защищенную передачу файлов с помощью уровня TLS (SSL) за протоколом FTP. Используя SSL, передача FTP шифруется и защищается от точки к точке, а весь трафик FTP, таким образом, защищен от перехвата.

Требованием к пользователям будет использование FTP клиента, который способен подключаться к FTP сайту, используя FTP-S. Примерами FTP клиентов с поддержкой FTP-S могут быть бесплатный FTP клиент FileZilla или коммерческий FTP клиент CuteFTP.

Настройка защищенного FTP сайта с использованием коммерческого SSL сертификата

Ниже я опишу, как защищать существующий FTP сайт с помощью SSL сертификата. Сертификат, изданный и используемый ниже, будет создан во внутреннем центре сертификации (internal Certificate Authority), установленный только в целях тестирования, но процесс регистрации протокола на сервере будет одинаков с процессом, когда сертификат заказывается у стороннего поставщика, например Verisign или Godaddy. Можно также создавать самоподписной сертификат непосредственно в IIS, этот процесс будет описано позже в этой статье.

Убедитесь, что ваш FTP работает и что вы можете войти на этот FTP сайт. FTP сайт, используемый в этой статье будет ftp.example.com, как показано ниже.

1. Запустите диспетчера IIS Manager, расположенного в меню Пуск — Администрирование — Internet Information Service (IIS) Manager
2. В диспетчере IIS Manager нажмите на FTP сервер, выделите его и выберите сертификаты сервера (Server Certificates):

   

   Рисунок A: Сертификаты сервера

1. В панели действий выберите опцию Создать запрос сертификата (Create Certificate Request)

1. В появившемся диалоговом окне заполните необходимую информацию о сертификате и нажмите Далее:

1. Выберите стандартного поставщика услуг криптографии (default cryptographic service provider) и нажмите Далее:

1. Сохраните запрос в файл и нажмите Закончить:

Запрос сертификата был выполнен и рассматривается в IIS. Теперь запрос готов к отправке коммерческому стороннему поставщику сертификатов (например, Verisign, Godaddy и т.д.).

Импортирование запроса сертификата

Когда запрос сертификата возвращается от поставщика сертификатов, его нужно импортировать в IIS для работы.

1. В диспетчере IIS Manager нажмите на сервере FTP и выберите сертификаты сервера:

   

   Рисунок B: IIS Manager – Сертификаты сервера

1. Выберите опцию Завершить запрос сертификата (Complete Certificate Request):

1. Выберите Запрос сертификата, который вернулся от поставщика сертификатов, и введите общее имя сайта, а затем нажмите OK:

1. Теперь сертификат будет отображен в диспетчере IIS Manager и готов к использованию:

Включение коммерческого сертификата на FTP сайте

После импортирования SSL сертификат может быть включен и применен к FTP сайту. Перейдите на FTP сайт, на котором вы хотите использовать сертификат.

1. В диспетчере IIS Manager выберите FTP сайт и нажмите Параметры FTP SSL:

   

   Рисунок C: FTP сайт – Параметры FTP SSL

1. Выберите сертификат и параметры SSL политики (Разрешить или требовать SSL — Allow or Required SSL) и нажмите Применить:

1. Теперь SSL сертификат применен к FTP сайту:

Теперь FTP сайт защищен и требует FTP-S подключения к FTP сайту с помощью FTP клиента с поддержкой FTP-S.

Настройка защищенного FTP сайта с помощью самоподписного сертификата SSL

Как говорилось выше, всегда можно создать самоподписной (self-signed) SSL сертификат непосредственно в Internet Information Services (IIS) Manager. Этот процесс быстрее по сравнению с запросом сертификата у стороннего поставщика. Самоподписные сертификаты отлично подходят для тестирования FTP сайтов или внутреннего использования, но их не рекомендуется использовать в производстве.

1. Запустите диспетчера IIS Manager, расположенного в меню Пуск — Администрирование — Internet Information Service (IIS) Manager
2. В IIS Manager нажмите FTP сервер и выберите сертификаты сервера:

   

   Рисунок D: Сертификаты сервера

1. В панели действий выберите опцию Создать самоподписной сертификат (Create Self-Signed Certificate):

1. В появившемся диалоговом окне дайте сертификату имя и нажмите OK:

1. Сертификат создан и готов к использованию:

Следующим шагом будет применение и включение этого сертификата на сайте FTP.

1. Выберите FTP сайт (в этом примере: ftp.example.com) и нажмите Параметры FTP SSL:

1. Выберите сертификат и нужные параметры (Требовать SSL подключения), затем нажмите применить:

Теперь FTP сайт готов к использованию и весь трафик будет зашифрован. Для подключения к FTP сайту сейчас требуется клиент с поддержкой FTPs.

Подключение к FTP сайту

Используйте FTP клиента с поддержкой FTP-S для подключения к FTP сайту, чтобы протестировать подключение. В нижеприведенном примере используется FileZilla. Очень важно настроить параметры FTP сервера на клиенте FileZilla на использование FTPs для подключения, поэтому параметры FileZilla будут «FTPES — FTP over explicit TLS/SSL».

Рисунок E: FileZilla — FTPS параметры

При первом входе на FTP сайт с самоподписным сертификатом FTP клиент (FileZilla) скажет вам, что издатель сертификата неизвестен. Если вы доверяете ему и хотите его импортировать, нажмите OK.

Теперь FTP сайт готов к использованию в защищенном виде.

Заключение

Благодаря новой службе публикации Microsoft FTP Publishing Service стало возможным устанавливать защищенное FTP решение на основе продукта Microsoft, с интеграцией Internet Information Services и Active Directory. Все FTP коммуникации теперь можно шифровать, так как служба публикации FTP для IIS 7.0 поддерживает FTP-S (FTP по SSL), FTP-S – это стандарт RFC (RFC 4217) для шифрования FTP трафика.

Шифрование FTP трафика можно выполнять с помощью коммерческого или самоподписного SSL сертификата. Все настройки осуществляются на сервере. Клиентам, подключающимся к новому защищенному сайту FTP нужно использовать FTP клиентов, которые поддерживают FTP-S.

Эта заключительная часть серии статей о новой службе публикации FTP для Internet Information Services 7.0 (IIS 7.0).

www.windowsnetworking.com

• Wds служба развертывания
• K exchange servers как удалить
• Nat Windows 2003
• Ограничение времени выполнения хранимой процедуры oracle
• Уникальные шрифты

Tags: ftp