通过FTPS进行文件操作

操作步骤

• 上传服务器数字证书文件及私钥文件

  可使用SFTP或SCP方式将服务器数字证书文件和私钥文件上传至设备，且要保存至security中，如设备无此目录，可执行命令mkdir directory创建。

  服务器需要从证书颁发中心CA（Certificate Authority）获得数字证书文件（包括私钥文件），访问服务器的客户端也需要从CA得到CA证书，用来验证服务器数字证书的有效性。

  CA是负责发放和管理数字证书的权威机构，当前FTPS服务器上加载的数字证书必须向CA申请。

  证书格式分为PEM格式、ASN1格式和PFX格式。虽然证书的格式不相同，但是证书的内容一样。

  • PEM格式的证书是最常用的一种数字证书格式，文件的扩展名是.pem，适用于系统之间的文本模式传输。

  • ASN1是通用的数字证书格式之一，文件的扩展名是.der，是大多数浏览器的默认格式。

  • PFX是通用的数字证书格式之一，文件的扩展名是.pfx，是可移植的二进制格式。

  具体的操作步骤请参考手册中其他文件上传方式的介绍。

• 配置SSL策略并加载数字证书文件

  加载数字证书文件的同时指定私钥文件。

  表7-29 配置SSL策略并加载数字证书

  操作步骤	命令	说明
  进入系统视图	system-view	-
  （可选）定制SSL算法套	ssl cipher-suite-list customization-policy-name	创建SSL算法套定制策略并进入定制策略视图。 缺省情况下，没有配置SSL算法套定制策略。
  	set cipher-suite { tls12_ck_dss_aes_128_gcm_sha256 | tls12_ck_dss_aes_256_gcm_sha384 | tls12_ck_rsa_aes_128_gcm_sha256 | tls12_ck_rsa_aes_256_gcm_sha384 | }	配置SSL算法套定制策略中支持的算法套。 缺省情况下，SSL算法套定制策略中没有配置算法套。 配置算法套定制策略中支持的算法套后，SSL协商时将使用定制策略中配置的策略进行协商。 如果算法套定制策略已经被SSL策略引用，可以对算法套进行增加、修改和部分删除，但不能将算法套定制策略中的算法套全部删除。 系统软件中不包含tls12_ck_rsa_aes_256_cbc_sha256、tls1_ck_dhe_dss_with_aes_128_sha、tls1_ck_dhe_dss_with_aes_256_sha、tls1_ck_dhe_rsa_with_aes_128_sha、tls1_ck_dhe_rsa_with_aes_256_sha、tls1_ck_rsa_with_aes_128_sha和tls1_ck_rsa_with_aes_256_sha参数，如需使用，需要安装WEAKEA插件，但是该算法安全性低。为了保证更好的安全性，建议使用其它算法。
  	quit	返回系统视图。
  配置SSL策略并进入SSL策略视图	ssl policy policy-name	-
  （可选）设置SSL策略所采用的最低SSL版本	ssl minimum version { tls1.1 | tls1.2 }	缺省情况下，SSL策略所采用的最低SSL版本为TLS1.2。 系统软件中不包含tls1.0参数，如需使用，需要安装WEAKEA插件，但是该算法安全性低。为了保证更好的安全性，建议配置tls1.1或tls1.2参数。
  （可选）在SSL策略中绑定指定的SSL算法套定制策略	binding cipher-suite-customization customization-policy-name	缺省情况下，SSL策略未绑定算法套定制策略，使用默认的算法套。SSL策略默认支持如下算法套： tls1_ck_rsa_with_aes_256_sha tls1_ck_rsa_with_aes_128_sha tls1_ck_dhe_rsa_with_aes_256_sha tls1_ck_dhe_dss_with_aes_256_sha tls1_ck_dhe_rsa_with_aes_128_sha tls1_ck_dhe_dss_with_aes_128_sha tls12_ck_rsa_aes_256_cbc_sha256 绑定的SSL算法套定制策略中如果仅有一种类型的算法（RSA或DSS），SSL策略需要加载对应类型的证书，确保SSL协商时能成功。
  加载PEM格式的证书	certificate load pem-cert cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code	根据证书类型，选其一。 说明： 一个SSL策略只能加载一个证书或者证书链。如果已经加载了证书或者证书链，加载新证书或者证书链之前必须先卸载旧证书或者证书链。 配置SSL策略加载证书或证书链时，证书或证书链中密钥对长度最大为2048位。如果该长度超过2048位，证书文件或证书链文件将无法上传到设备中使用。
  加载ASN1格式的证书	certificate load asn1-cert cert-filename key-pair { dsa | rsa } key-file key-filename
  加载PFX格式的证书	certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code
  加载PEM格式的证书链	certificate load pem-chain cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code

• 配置FTPS服务器功能及FTP服务参数

  基于FTP协议的FTPS，除了配置FTPS服务器功能外，还可以对FTP服务参数进行配置。

  表7-30 配置FTPS服务器功能及FTP服务参数

  操作步骤	命令	说明
  进入系统视图	system-view	-
  （可选）指定FTP服务器端口号	ftp [ ipv6 ] server port port-number	缺省情况下，FTP服务器端口号是21。 如果配置了新的端口号，FTP服务器端先断开当前已经建立的所有FTP连接，然后使用新的端口号开始尝试连接。这样可以有效防止攻击者对FTP服务标准端口的访问。
  为FTPS服务器配置SSL策略	ftp secure-server ssl-policy policy-name	此处配置的SSL策略即为上个操作步骤中创建的SSL策略。
  使能FTPS服务器功能	ftp [ ipv6 ] secure-server enable	缺省情况下，未使能FTPS服务器。 说明： 使能FTPS服务功能前，必须去使能FTP服务器功能。
  （可选）指定FTP服务器的源地址	ftp server-source { -a source-ip-address | -i interface-type interface-number }	指定FTP服务器的源地址，实现对设备进出报文的过滤，保证安全性。 配置了服务器的源地址后，登录服务器时，所输入的服务器地址必须与该命令中配置的一致，否则无法成功登录。
  （可选）配置FTP连接空闲时间	ftp [ ipv6 ] timeout minutes	缺省情况下，连接空闲时间为10分钟。 在设定的时间内，如果FTP连接始终处于空闲状态时，系统将自动断开FTP连接。

  • 如果变更端口号前FTPS服务已经启动，则不能变更成功。需执行undo ftp [ ipv6 ] secure-server命令关闭FTPS服务，再进行端口号变更。

  • 当客户端与设备之间的文件操作结束后，请执行undo ftp [ ipv6 ] secure-server命令，及时关闭FTPS服务器功能，从而保证设备的安全。

• 配置FTP本地用户

  当用户通过FTPS进行文件操作时，需要在作为FTPS服务器的设备上配置本地用户名及口令，指定用户的服务类型以及可以访问的目录。否则用户将无法访问设备。

  表7-31 配置FTP本地用户

  操作步骤	命令	说明
  进入系统视图	system-view	-
  进入AAA视图	aaa	-
  配置本地用户名和密码	local-user user-name password irreversible-cipher password	-
  配置本地用户级别	local-user user-name privilege level level	说明： 必须将用户级别配置在3级或3级以上，否则FTP连接将无法成功。
  配置本地用户的服务类型为FTP	local-user user-name service-type ftp	缺省情况下，本地用户可以使用所有的接入类型。
  配置FTP用户的授权目录	local-user user-name ftp-directory directory	缺省情况下，本地用户的FTP目录为空。 当有多个FTP用户且有相同的授权目录时，可以执行set default ftp-directory directory命令，为FTP用户配置缺省工作目录。此时，不需要通过local-user user-name ftp-directory directory命令为每个用户配置授权目录。

• 用户通过FTPS访问设备

  需要在用户终端安装支持SSL的FTP客户端软件，通过第三方软件从用户终端登录FTPS服务器，实现对FTPS服务器进行文件的安全管理。

  由于文件系统对根目录下的文件个数有限制，当根目录中文件个数大于50个时，继续在根目录中创建文件可能会失败。