FTP over SSL (FTPS) pada Windows Server 2012 R2

Salah satu kelemahan utama protokol FTP untuk transfer file - kurangnya keamanan dan enkripsi data yang dikirimkan. Nama pengguna dan kata sandi saat menghubungkan ke server FTP juga dikirimkan dalam teks yang jelas. Untuk transmisi data (terutama melalui saluran komunikasi publik) disarankan untuk menggunakan protokol yang lebih aman seperti FTPS atau SFTP. Pertimbangkan cara mengatur Server FTPS Berbasis Windows Server 2012 R2.

Protokol FTPS (FTP over SSL / TLS, FTP + SSL) - adalah perpanjangan dari protokol FTP standar, tetapi koneksi antara klien dan server diamankan (dienkripsi) menggunakan protokol SSL / TLS. Biasanya port yang sama 21 digunakan untuk koneksi..

Catatan. Jangan bingung FTPS dengan SFTP (Secure FTP atau SSH FTP). Yang terakhir adalah perpanjangan dari protokol SSH, yang tidak ada hubungannya dengan FTP.

Konten:

  • Menginstal Peran Server FTP
  • Pembuatan dan pemasangan sertifikat SSL IIS
  • Kami membuat situs FTP dengan dukungan SSL
  • FTPS dan firewall
  • Menguji FTP melalui Koneksi SSL

Dukungan FTP over SSL diperkenalkan di IIS 7.0 (Windows Server 2008). Agar server FTPS berfungsi, IIS perlu menginstal sertifikat SSL di server web IIS.

Menginstal Peran Server FTP

Menginstal peran server FTP pada Windows Server 2012 tidak menyebabkan masalah dan telah dijelaskan lebih dari satu kali.

Pembuatan dan pemasangan sertifikat SSL IIS

Lalu buka konsol Manajer IIS, pilih server dan pergi ke bagian tersebut Sertifikat server.

Bagian ini memungkinkan Anda untuk mengimpor sertifikat, membuat permintaan sertifikat, memperbarui sertifikat, atau membuat sertifikat yang ditandatangani sendiri. Untuk tujuan demonstrasi, kami akan fokus pada sertifikat yang ditandatangani sendiri (itu juga dapat dibuat menggunakan cmdlet Sertifikat-DiriSigngngn Baru). Saat mengakses layanan, muncul peringatan bahwa sertifikat dikeluarkan oleh CA yang tidak dipercaya, untuk menonaktifkan peringatan ini untuk sertifikat ini, dapat ditambahkan ke yang tepercaya melalui GPO.

Pilih Buat Sertifikat yang Ditandatangani Sendiri.

Di panduan untuk membuat sertifikat, tentukan namanya dan pilih jenis sertifikat Web Hosting.

Sertifikat yang ditandatangani sendiri akan muncul dalam daftar sertifikat yang tersedia. Validitas sertifikat - 1 tahun.

Kami membuat situs FTP dengan dukungan SSL

Selanjutnya, Anda perlu membuat situs FTP. Di konsol IIS, klik RMB pada node Situs dan buat situs FTP baru (Tambah FTP).

Tentukan nama dan jalur ke direktori root situs FTP (kami memiliki direktori default C: \ inetpub \ ftproot).

Pada langkah wizard berikutnya, di bagian sertifikat SSL, pilih sertifikat yang kami buat.

Tetap memilih jenis otentikasi dan hak akses pengguna.

Kiat. Jika setiap pengguna harus memiliki direktori root FTP sendiri, Anda dapat menggunakan instruksi untuk membuat server FTP dengan isolasi pengguna.

Ini menyimpulkan penyihir. Secara default, perlindungan SSL diperlukan dan digunakan untuk mengenkripsi perintah manajemen dan data yang dikirimkan..

FTPS dan firewall

Saat menggunakan protokol FTP, 2 koneksi TCP yang berbeda digunakan, perintah dikirimkan satu per satu, data oleh yang lain. Setiap saluran data membuka port TCP-nya sendiri, yang jumlahnya dipilih oleh server atau klien. Sebagian besar firewall memungkinkan Anda untuk memeriksa lalu lintas FTP dan, menganalisisnya, secara otomatis membuka port yang diperlukan. Ketika menggunakan FTPS aman, data yang dikirimkan ditutup dan tidak dapat dianalisis, akibatnya, firewall tidak dapat menentukan port mana yang harus dibuka untuk transfer data.

Agar tidak membuka seluruh rentang port TCP 1024-65535 di luar server FTPS, Anda bisa memaksa server FTP untuk menggunakan rentang alamat yang digunakan. Rentang ini ditentukan dalam pengaturan situs IIS di bagian FTP Firewall Dukungan.

Setelah mengubah kisaran port, Anda harus memulai kembali layanan (iisreset).

Di firewall Windows bawaan, aturan akan bertanggung jawab untuk lalu lintas masuk:

  • Server FTP (Lalu Lintas-Masuk FTP)
  • FTP Server Passive (FTP Passive Traffic-In)
  • FTP Server Secure (FTP SSL Traffic-In)

Karenanya, pada firewall eksternal Anda harus membuka port 21, 990 dan 50000-50100 (kisaran port yang telah kami pilih).

Menguji FTP melalui Koneksi SSL

Untuk menguji koneksi melalui FTPS, gunakan klien Filezilla.

  1. Lari Filezilla (atau klien lain yang mendukung FTPS).
  2. Klik File > Situs Manajer, dan buat koneksi baru (Baru Situs).
  3. Masukkan alamat server FTPS (Tuan rumah), jenis protokol (Membutuhkan eksplisit FTP selesai TLS), nama pengguna (bidang Pengguna) dan persyaratan untuk meminta kata sandi untuk otorisasi (Tanya untuk kata sandi)
  4. Tombol tekan Terhubung dan masukkan kata sandi pengguna.
  5. Peringatan tentang sertifikat yang tidak dipercaya akan muncul (saat menggunakan sertifikat yang ditandatangani sendiri). Konfirmasikan koneksi.
  6. Koneksi harus dibuat, dan garis-garis akan muncul di log:

    Status: Menginisialisasi TLS ...
    Status: Memverifikasi sertifikat ...
    Status: Koneksi TLS dibuat.

  7. Ini berarti bahwa koneksi aman dibuat dan Anda dapat mentransfer file menggunakan FTPS