Настройка IIS для размещения FTP-сайта (часть 3)
Введение
В предыдущей статье этой серии я показал вам, как получить версию служб FTP для IIS 7.0. В этой статье я покажу вам, как добавить шифрование SSL на ваш FTP-сайт.
Получение SSL-сертификата
Прежде чем ваш FTP-сервер сможет обеспечить шифрование SSL, вам потребуется сертификат X.509. Вы можете либо приобрести сертификат в коммерческом центре сертификации, таком как VeriSign или Thawte, либо использовать для выпуска сертификата собственный центр сертификации.
Для целей этой статьи я собираюсь предположить, что у вас есть сервер Windows 2008, настроенный для работы в качестве корпоративного центра сертификации. В следующем разделе я покажу вам, как отправить запрос на сертификат и загрузить необходимый сертификат. Если вы получаете сертификат SSL от коммерческого центра сертификации, вы можете пропустить следующий раздел.
Получение SSL-сертификата
Чтобы использовать шифрование SSL, нам необходимо отправить запрос в наш центр сертификации предприятия. Для целей этой статьи я собираюсь предположить, что ваш FTP-сервер является членом того же леса Active Directory, что и ваш центр сертификации предприятия.
Чтобы запросить необходимый сертификат, откройте Internet Explorer и введите URL-адрес, связанный с вашим корпоративным центром сертификации. По умолчанию используется URL-адрес https://<имя сервера>/CertSrv. При вводе этого URL-адреса вам, как правило, придется вводить полное доменное имя вашего центра сертификации предприятия, а не просто вводить имя NetBIOS сервера.
После ввода URL-адреса центра сертификации предприятия войдите на веб-сайт служб сертификации Active Directory и добавьте администратора домена (при необходимости). После этого нажмите на ссылку Запросить сертификат. Теперь вы должны увидеть экран с вопросом, хотите ли вы запросить сертификат пользователя или хотите отправить расширенный запрос сертификата. Нажмите на опцию «Расширенный запрос сертификата».
На следующем экране вы можете выбрать отправку запроса непосредственно в центр сертификации или загрузку файла запроса сертификата, закодированного в формате Base-64 или PKCS #10. Нажмите на ссылку «Создать и отправить запрос в этот ЦС».
На этом этапе вам может быть предложено установить элемент управления ActiveX. Если это произойдет, установите элемент управления и дайте ему возможность работать.
Теперь вы должны быть на главном экране расширенного запроса сертификата. Выберите параметр «Веб-сервер» в раскрывающемся списке «Шаблон сертификата». Теперь вы должны ввести некоторую основную идентификационную информацию, которая может быть включена в ваш сертификат. Это включает в себя такие вещи, как ваше имя, адрес электронной почты, почтовый адрес и номер телефона.
В разделе «Параметры ключей» выберите параметр «Создать новый набор ключей». Также следует убедиться, что в качестве поставщика служб криптографии (CSP) задан поставщик служб криптографии Microsoft RSA SChannel, а для размера ключа установлено значение 1024, как показано на рисунке A.
Рисунок A. Необходимо убедиться, что в качестве поставщика служб криптографии (CSP) выбран поставщик служб шифрования Microsoft RSA SChannel, а для размера ключа установлено значение 1024.
Теперь прокрутите вниз до нижней части интерфейса и нажмите кнопку «Отправить». Вы должны увидеть предупреждающее сообщение о том, что веб-узел пытается сгенерировать запрос сертификата. Нажмите Да, чтобы разрешить выполнение запроса. Когда процесс завершится, вы должны увидеть сообщение о том, что вам был выдан сертификат, и спросить, хотите ли вы его установить. Идите вперед и нажмите ссылку «Установить этот сертификат». Вы снова увидите предупреждающее сообщение о том, что веб-узел пытается установить сертификат. Нажмите Да, чтобы разрешить операцию.
Вы должны увидеть сообщение о том, что сертификат был успешно установлен, но мы должны убедиться в этом. Для этого введите команду MMC в строке «Выполнить» на вашем FTP-сервере. Когда вы это сделаете, Windows откроет пустой экземпляр консоли управления Microsoft. На этом этапе вы должны выбрать команду «Добавить/удалить оснастку» в меню «Файл» консоли. Это приведет к тому, что Windows отобразит диалоговое окно «Добавление или удаление оснастки».
Выберите опцию «Сертификаты» из списка доступных оснасток и нажмите кнопку «Добавить». Теперь вас спросят, следует ли использовать консоль для управления сертификатами для вашей учетной записи пользователя, учетной записи службы или учетной записи компьютера. Выберите параметр «Учетная запись компьютера» и нажмите кнопку «Далее».
На следующем экране вас спросят, хотите ли вы управлять сертификатами для локального компьютера или хотите ли вы управлять сертификатами для другого компьютера в сети. Убедитесь, что выбран параметр «Локальный компьютер», а затем нажмите кнопку «Готово», а затем кнопку «ОК».
Теперь консоль должна загрузить оснастку «Сертификаты». Теперь вы должны перейти через дерево консоли к Console Root | сертификаты (локальный компьютер) | Личный | Сертификаты. Когда вы выбираете контейнер Certificates, панель Details должна показать вам сертификат, который был выдан.
Включение SSL для FTP-сервера
Теперь, когда у нас есть сертификат SSL, мы можем включить шифрование SSL для нашего FTP-сервера. Для этого. Откройте диспетчер информационных служб Интернета (IIS). Перейдите по дереву консоли к <ваш сервер> | Сайты | <ваш FTP-сайт>. Выбрав FTP-узел, дважды щелкните значок настроек FTP SSL, расположенный на панели сведений.
Теперь консоль должна отобразить страницу настроек FTP SSL. Выберите свой SSL-сертификат из раскрывающегося списка SSL-сертификат, как показано на рисунке B. Затем у вас есть возможность либо разрешить SSL-соединения, либо потребовать SSL-соединения. Вы также можете использовать 128-битное шифрование для большей безопасности. Нажмите кнопку Применить, чтобы сохранить изменения.
Рисунок B. Выберите свой сертификат из раскрывающегося списка SSL-сертификаты.
Использовать SSL или не использовать SSL?
Поначалу возможность использовать SSL для вашего FTP-сайта, вероятно, звучит как ежу понятно. В конце концов, шифрование — это хорошо, не так ли? Не обязательно.
Одним из недостатков использования SSL-шифрования является то, что процесс шифрования увеличивает нагрузку на ЦП. Дополнительная рабочая нагрузка, вероятно, того стоит, если вы передаете конфиденциальную информацию туда и обратно или если сайт FTP используется только изредка. Однако, если вы предполагаете, что FTP-сайт будет интенсивно использоваться, рекомендуется провести некоторое тестирование, чтобы убедиться, что процесс шифрования не вызовет проблем с производительностью сервера.
Я рекомендую отслеживать счетчик Processor / %Processor Time монитора производительности как до, так и после включения SSL-шифрования. Всплески активности ЦП нормальны, но средняя загрузка должна оставаться ниже 80%. В противном случае это означает, что ЦП не справляется с предъявляемыми к нему требованиями.
Вывод
Возможность зашифровать ваш FTP-сайт — это хорошо, но это еще не все. Без надлежащей безопасности кто-то все еще может анонимно войти на ваш FTP-сайт, даже если включено шифрование SSL. В части 4 я завершу серию, обсудив авторизацию для FTP-сайтов.
- Настройка IIS для размещения FTP-сайта (часть 4)