Настройка IIS для размещения FTP-сайта (часть 3)

Опубликовано: 22 Марта, 2023

Введение

В предыдущей статье этой серии я показал вам, как получить версию служб FTP для IIS 7.0. В этой статье я покажу вам, как добавить шифрование SSL на ваш FTP-сайт.

Получение SSL-сертификата

Прежде чем ваш FTP-сервер сможет обеспечить шифрование SSL, вам потребуется сертификат X.509. Вы можете либо приобрести сертификат в коммерческом центре сертификации, таком как VeriSign или Thawte, либо использовать для выпуска сертификата собственный центр сертификации.

Для целей этой статьи я собираюсь предположить, что у вас есть сервер Windows 2008, настроенный для работы в качестве корпоративного центра сертификации. В следующем разделе я покажу вам, как отправить запрос на сертификат и загрузить необходимый сертификат. Если вы получаете сертификат SSL от коммерческого центра сертификации, вы можете пропустить следующий раздел.

Получение SSL-сертификата

Чтобы использовать шифрование SSL, нам необходимо отправить запрос в наш центр сертификации предприятия. Для целей этой статьи я собираюсь предположить, что ваш FTP-сервер является членом того же леса Active Directory, что и ваш центр сертификации предприятия.

Чтобы запросить необходимый сертификат, откройте Internet Explorer и введите URL-адрес, связанный с вашим корпоративным центром сертификации. По умолчанию используется URL-адрес https://<имя сервера>/CertSrv. При вводе этого URL-адреса вам, как правило, придется вводить полное доменное имя вашего центра сертификации предприятия, а не просто вводить имя NetBIOS сервера.

После ввода URL-адреса центра сертификации предприятия войдите на веб-сайт служб сертификации Active Directory и добавьте администратора домена (при необходимости). После этого нажмите на ссылку Запросить сертификат. Теперь вы должны увидеть экран с вопросом, хотите ли вы запросить сертификат пользователя или хотите отправить расширенный запрос сертификата. Нажмите на опцию «Расширенный запрос сертификата».

На следующем экране вы можете выбрать отправку запроса непосредственно в центр сертификации или загрузку файла запроса сертификата, закодированного в формате Base-64 или PKCS #10. Нажмите на ссылку «Создать и отправить запрос в этот ЦС».

На этом этапе вам может быть предложено установить элемент управления ActiveX. Если это произойдет, установите элемент управления и дайте ему возможность работать.

Теперь вы должны быть на главном экране расширенного запроса сертификата. Выберите параметр «Веб-сервер» в раскрывающемся списке «Шаблон сертификата». Теперь вы должны ввести некоторую основную идентификационную информацию, которая может быть включена в ваш сертификат. Это включает в себя такие вещи, как ваше имя, адрес электронной почты, почтовый адрес и номер телефона.

В разделе «Параметры ключей» выберите параметр «Создать новый набор ключей». Также следует убедиться, что в качестве поставщика служб криптографии (CSP) задан поставщик служб криптографии Microsoft RSA SChannel, а для размера ключа установлено значение 1024, как показано на рисунке A.

Изображение 20086
Рисунок A. Необходимо убедиться, что в качестве поставщика служб криптографии (CSP) выбран поставщик служб шифрования Microsoft RSA SChannel, а для размера ключа установлено значение 1024.

Теперь прокрутите вниз до нижней части интерфейса и нажмите кнопку «Отправить». Вы должны увидеть предупреждающее сообщение о том, что веб-узел пытается сгенерировать запрос сертификата. Нажмите Да, чтобы разрешить выполнение запроса. Когда процесс завершится, вы должны увидеть сообщение о том, что вам был выдан сертификат, и спросить, хотите ли вы его установить. Идите вперед и нажмите ссылку «Установить этот сертификат». Вы снова увидите предупреждающее сообщение о том, что веб-узел пытается установить сертификат. Нажмите Да, чтобы разрешить операцию.

Вы должны увидеть сообщение о том, что сертификат был успешно установлен, но мы должны убедиться в этом. Для этого введите команду MMC в строке «Выполнить» на вашем FTP-сервере. Когда вы это сделаете, Windows откроет пустой экземпляр консоли управления Microsoft. На этом этапе вы должны выбрать команду «Добавить/удалить оснастку» в меню «Файл» консоли. Это приведет к тому, что Windows отобразит диалоговое окно «Добавление или удаление оснастки».

Выберите опцию «Сертификаты» из списка доступных оснасток и нажмите кнопку «Добавить». Теперь вас спросят, следует ли использовать консоль для управления сертификатами для вашей учетной записи пользователя, учетной записи службы или учетной записи компьютера. Выберите параметр «Учетная запись компьютера» и нажмите кнопку «Далее».

На следующем экране вас спросят, хотите ли вы управлять сертификатами для локального компьютера или хотите ли вы управлять сертификатами для другого компьютера в сети. Убедитесь, что выбран параметр «Локальный компьютер», а затем нажмите кнопку «Готово», а затем кнопку «ОК».

Теперь консоль должна загрузить оснастку «Сертификаты». Теперь вы должны перейти через дерево консоли к Console Root | сертификаты (локальный компьютер) | Личный | Сертификаты. Когда вы выбираете контейнер Certificates, панель Details должна показать вам сертификат, который был выдан.

Включение SSL для FTP-сервера

Теперь, когда у нас есть сертификат SSL, мы можем включить шифрование SSL для нашего FTP-сервера. Для этого. Откройте диспетчер информационных служб Интернета (IIS). Перейдите по дереву консоли к <ваш сервер> | Сайты | <ваш FTP-сайт>. Выбрав FTP-узел, дважды щелкните значок настроек FTP SSL, расположенный на панели сведений.

Теперь консоль должна отобразить страницу настроек FTP SSL. Выберите свой SSL-сертификат из раскрывающегося списка SSL-сертификат, как показано на рисунке B. Затем у вас есть возможность либо разрешить SSL-соединения, либо потребовать SSL-соединения. Вы также можете использовать 128-битное шифрование для большей безопасности. Нажмите кнопку Применить, чтобы сохранить изменения.

Изображение 20087
Рисунок B. Выберите свой сертификат из раскрывающегося списка SSL-сертификаты.

Использовать SSL или не использовать SSL?

Поначалу возможность использовать SSL для вашего FTP-сайта, вероятно, звучит как ежу понятно. В конце концов, шифрование — это хорошо, не так ли? Не обязательно.

Одним из недостатков использования SSL-шифрования является то, что процесс шифрования увеличивает нагрузку на ЦП. Дополнительная рабочая нагрузка, вероятно, того стоит, если вы передаете конфиденциальную информацию туда и обратно или если сайт FTP используется только изредка. Однако, если вы предполагаете, что FTP-сайт будет интенсивно использоваться, рекомендуется провести некоторое тестирование, чтобы убедиться, что процесс шифрования не вызовет проблем с производительностью сервера.

Я рекомендую отслеживать счетчик Processor / %Processor Time монитора производительности как до, так и после включения SSL-шифрования. Всплески активности ЦП нормальны, но средняя загрузка должна оставаться ниже 80%. В противном случае это означает, что ЦП не справляется с предъявляемыми к нему требованиями.

Вывод

Возможность зашифровать ваш FTP-сайт — это хорошо, но это еще не все. Без надлежащей безопасности кто-то все еще может анонимно войти на ваш FTP-сайт, даже если включено шифрование SSL. В части 4 я завершу серию, обсудив авторизацию для FTP-сайтов.

  • Настройка IIS для размещения FTP-сайта (часть 4)
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023