Một trong những nhược điểm chính của FTP để truyền tệp là thiếu phương tiện bảo vệ và mã hóa cho dữ liệu được truyền. Khi kết nối với tên người dùng và mật khẩu máy chủ FTP cũng được gửi dưới dạng văn bản rõ ràng. Để truyền dữ liệu (đặc biệt là sử dụng các kênh liên lạc công cộng), bạn nên sử dụng các giao thức an toàn hơn, như FTPS hoặc SFTP. Hãy xem cách định cấu hình máy chủ FTPS trên Windows Server 2012 R2 .
Giao thức FTPS (FTP qua SSL / TLS, FTP + SSL) là một phần mở rộng của giao thức FTP tiêu chuẩn, nhưng kết nối giữa máy khách và máy chủ được bảo vệ (mã hóa) bằng SSL / TLS. Theo quy định, cùng một cổng 21 được sử dụng để kết nối.
Lưu ý . Bạn không nên kết hợp FTPS và SFTP (FTP an toàn hoặc SSH FTP). Sau đó là phần mở rộng của giao thức SSH không có điểm chung nào với FTP.
Hỗ trợ FTP qua SSL đã xuất hiện trong IIS 7.0 (Windows Server 2008). Để làm cho máy chủ FTPS hoạt động, bạn sẽ phải cài đặt chứng chỉ SSL trên máy chủ IIS của mình.
Cài đặt Vai trò Máy chủ FTP
Việc cài đặt vai trò máy chủ FTP trong Windows Server 2012 không gây ra bất kỳ sự cố nào và đã được mô tả.
Cách tạo và cài đặt chứng chỉ SSL trong IIS
Sau đó, mở Trình quản lý IIS bảng điều khiển, chọn một máy chủ và đi tới Chứng chỉ máy chủ phần .
Trong phần này, bạn có thể nhập chứng chỉ, tạo yêu cầu chứng chỉ, cập nhật chứng chỉ hoặc tạo chứng chỉ tự ký. Đối với mục đích minh họa, hãy tạo chứng chỉ tự ký. (Nó cũng có thể được tạo bằng cách sử dụng lệnh ghép ngắn New-SelfSifgnedCertificate.) Khi giải quyết một dịch vụ, một cảnh báo rằng chứng chỉ được cấp bởi một CA không đáng tin cậy sẽ xuất hiện. Để tắt cảnh báo này cho chứng chỉ này, hãy thêm nó vào danh sách chứng chỉ đáng tin cậy bằng GPO.
Chọn Tạo chứng chỉ tự ký .
Trong trình hướng dẫn Tạo chứng chỉ, chỉ định tên của nó và chọn Lưu trữ web loại chứng chỉ.
Chứng chỉ tự ký mới sẽ xuất hiện trong danh sách các chứng chỉ có sẵn. Chứng chỉ này sẽ hết hạn sau 1 năm.
Cách tạo trang FTP với hỗ trợ SSL
Sau đó, bạn phải tạo một trang FTP. Trong Trình quản lý IIS bảng điều khiển, nhấp chuột phải vào Sites và tạo một trang FTP mới ( Thêm FTP ).
Chỉ định tên của nó và đường dẫn đến thư mục gốc của trang FTP (trong trường hợp của chúng tôi, đó là đường dẫn mặc định C:\ inetpub \ ftproot).
Trong cửa sổ tiếp theo của trình hướng dẫn, hãy chọn chứng chỉ bạn đã tạo trong phần chứng chỉ SSL.
Giờ đây, bạn chỉ phải chọn loại xác thực và quyền truy cập của người dùng.
Mẹo . Nếu mỗi người dùng phải có thư mục gốc FTP của riêng họ, bạn có thể sử dụng hướng dẫn Cách tạo máy chủ FTP với cách ly người dùng.Bấm Kết thúc trong cửa sổ trình hướng dẫn. Theo mặc định, bảo vệ SSL là bắt buộc và được sử dụng để mã hóa cả lệnh quản lý và dữ liệu được truyền.
FTPS và Tường lửa
Khi sử dụng giao thức FTP, 2 kết nối TCP khác nhau được sử dụng, một kết nối để truyền lệnh và một kết nối khác để truyền dữ liệu. Đối với mỗi kênh truyền dữ liệu, một cổng TCP riêng lẻ sẽ được mở, số này được chọn bởi một máy khách hoặc một máy chủ. Hầu hết các tường lửa đều cho phép kiểm tra lưu lượng FTP và sau khi phân tích nó sẽ tự động mở các cổng cần thiết. Khi sử dụng kết nối FTPS được bảo vệ, dữ liệu được truyền sẽ được mã hóa và không phải phân tích. Do đó, tường lửa không thể xác định cổng nào phải được mở để truyền dữ liệu.
Để không mở toàn bộ phạm vi cổng TCP 1024-65535 cho máy chủ FTPS từ bên ngoài, bạn có thể chỉ định phạm vi địa chỉ được sử dụng cho máy chủ FTP. Phạm vi được chỉ định trong cài đặt trang IIS trong Hỗ trợ tường lửa FTP phần.
Sau khi phạm vi cổng đã được thay đổi, hãy khởi động lại dịch vụ ( iisreset ).
Các quy tắc sau chịu trách nhiệm về lưu lượng đến trong Tường lửa của Windows:
- Máy chủ FTP (FTP Traffic-In)
- Máy chủ FTP thụ động (FTP Passive Traffic-In)
- Bảo mật máy chủ FTP (Lưu lượng truy cập SSL FTP)
Vì vậy, bạn sẽ phải mở các cổng 21, 990 và 50000-50100 (phạm vi cổng bạn chọn) trên tường lửa phía trước.
Cách Kiểm tra FTP qua Kết nối SSL
Để kiểm tra kết nối FTPS, hãy sử dụng Filezilla.
- Khởi động FileZilla (hoặc bất kỳ ứng dụng khách nào khác hỗ trợ FTPS).
- Nhấp vào Tệp>
Trình quản lý Trang web và tạo kết nối mới ( Trang web mới) .
- Chỉ định địa chỉ máy chủ FTPS ( Máy chủ ), loại giao thức ( Yêu cầu rõ ràng FTP hết TLS ), tên người dùng ( Người dùng ) và yêu cầu nhập mật khẩu để xác thực ( Hỏi cho mật khẩu )
- Nhấp vào Kết nối và nhập mật khẩu của bạn.
- Cảnh báo về chứng chỉ không đáng tin cậy sẽ xuất hiện (trong trường hợp sử dụng chứng chỉ tự ký). Xác nhận kết nối.
- Kết nối phải được thiết lập và các mục sau sẽ xuất hiện trong nhật ký:
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established. - Điều đó có nghĩa là kết nối an toàn đã được thiết lập và bạn có thể truyền tệp bằng giao thức FTPS.