通过FTPS进行文件操作
配置流程
通过FTPS进行文件操作的配置流程如表7-27所示。
操作步骤
- 上传服务器数字证书文件及私钥文件
可使用SFTP或SCP方式将服务器数字证书文件和私钥文件上传至设备,且要保存至security中,如设备无此目录,可执行命令mkdir directory创建。
服务器需要从证书颁发中心CA(Certificate Authority)获得数字证书文件(包括私钥文件),访问服务器的客户端也需要从CA得到CA证书,用来验证服务器数字证书的有效性。
CA是负责发放和管理数字证书的权威机构,当前FTPS服务器上加载的数字证书必须向CA申请。
证书格式分为PEM格式、ASN1格式和PFX格式。虽然证书的格式不相同,但是证书的内容一样。PEM格式的证书是最常用的一种数字证书格式,文件的扩展名是.pem,适用于系统之间的文本模式传输。
ASN1是通用的数字证书格式之一,文件的扩展名是.der,是大多数浏览器的默认格式。
PFX是通用的数字证书格式之一,文件的扩展名是.pfx,是可移植的二进制格式。
具体的操作步骤请参考手册中其他文件上传方式的介绍。
- 配置SSL策略并加载数字证书文件
加载数字证书文件的同时指定私钥文件。
表7-29 配置SSL策略并加载数字证书操作步骤
命令
说明
进入系统视图
system-view
-
(可选)定制SSL算法套
ssl cipher-suite-list customization-policy-name
创建SSL算法套定制策略并进入定制策略视图。
缺省情况下,没有配置SSL算法套定制策略。
set cipher-suite { tls12_ck_dss_aes_128_gcm_sha256 | tls12_ck_dss_aes_256_gcm_sha384 | tls12_ck_rsa_aes_128_gcm_sha256 | tls12_ck_rsa_aes_256_gcm_sha384 | }
配置SSL算法套定制策略中支持的算法套。
缺省情况下,SSL算法套定制策略中没有配置算法套。
配置算法套定制策略中支持的算法套后,SSL协商时将使用定制策略中配置的策略进行协商。
如果算法套定制策略已经被SSL策略引用,可以对算法套进行增加、修改和部分删除,但不能将算法套定制策略中的算法套全部删除。
系统软件中不包含tls12_ck_rsa_aes_256_cbc_sha256、tls1_ck_dhe_dss_with_aes_128_sha、tls1_ck_dhe_dss_with_aes_256_sha、tls1_ck_dhe_rsa_with_aes_128_sha、tls1_ck_dhe_rsa_with_aes_256_sha、tls1_ck_rsa_with_aes_128_sha和tls1_ck_rsa_with_aes_256_sha参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议使用其它算法。
您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。
quit
返回系统视图。
配置SSL策略并进入SSL策略视图
ssl policy policy-name
-
(可选)设置SSL策略所采用的最低SSL版本
ssl minimum version { tls1.1 | tls1.2 }
缺省情况下,SSL策略所采用的最低SSL版本为TLS1.2。
系统软件中不包含tls1.0参数,如需使用,需要安装WEAKEA插件,但是该算法安全性低。为了保证更好的安全性,建议配置tls1.2参数。
您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。
(可选)在SSL策略中绑定指定的SSL算法套定制策略
binding cipher-suite-customization customization-policy-name
缺省情况下,SSL策略未绑定算法套定制策略,使用默认的算法套。SSL策略默认支持如下算法套:
- tls1_ck_rsa_with_aes_256_sha
- tls1_ck_rsa_with_aes_128_sha
- tls1_ck_dhe_rsa_with_aes_256_sha
- tls1_ck_dhe_dss_with_aes_256_sha
- tls1_ck_dhe_rsa_with_aes_128_sha
- tls1_ck_dhe_dss_with_aes_128_sha
- tls12_ck_rsa_aes_256_cbc_sha256
绑定的SSL算法套定制策略中如果仅有一种类型的算法(RSA或DSS),SSL策略需要加载对应类型的证书,确保SSL协商时能成功。
加载PEM格式的证书
certificate load pem-cert cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code
根据证书类型,选其一。
说明:- 一个SSL策略只能加载一个证书或者证书链。如果已经加载了证书或者证书链,加载新证书或者证书链之前必须先卸载旧证书或者证书链。
- 配置SSL策略加载证书或证书链时,证书或证书链中密钥对长度最大为2048位。如果该长度超过2048位,证书文件或证书链文件将无法上传到设备中使用。
加载ASN1格式的证书
certificate load asn1-cert cert-filename key-pair { dsa | rsa } key-file key-filename
加载PFX格式的证书
certificate load pfx-cert cert-filename key-pair { dsa | rsa } { mac cipher mac-code | key-file key-filename } auth-code cipher auth-code
加载PEM格式的证书链
certificate load pem-chain cert-filename key-pair { dsa | rsa } key-file key-filename auth-code cipher auth-code
- 配置FTPS服务器功能及FTP服务参数
基于FTP协议的FTPS,除了配置FTPS服务器功能外,还可以对FTP服务参数进行配置。
表7-30 配置FTPS服务器功能及FTP服务参数操作步骤
命令
说明
进入系统视图
system-view
-
(可选)指定FTP服务器端口号
ftp [ ipv6 ] server port port-number
缺省情况下,FTP服务器端口号是21。
如果配置了新的端口号,FTP服务器端先断开当前已经建立的所有FTP连接,然后使用新的端口号开始尝试连接。这样可以有效防止攻击者对FTP服务标准端口的访问。
为FTPS服务器配置SSL策略
ftp secure-server ssl-policy policy-name
此处配置的SSL策略即为上个操作步骤中创建的SSL策略。
使能FTPS服务器功能
ftp [ ipv6 ] secure-server enable
缺省情况下,未使能FTPS服务器。
说明:使能FTPS服务功能前,必须去使能FTP服务器功能。
(可选)指定FTP服务器的源地址
ftp server-source { -a source-ip-address | -i interface-type interface-number }
指定FTP服务器的源地址,实现对设备进出报文的过滤,保证安全性。
配置了服务器的源地址后,登录服务器时,所输入的服务器地址必须与该命令中配置的一致,否则无法成功登录。
(可选)配置FTP连接空闲时间
ftp [ ipv6 ] timeout minutes
缺省情况下,连接空闲时间为10分钟。
在设定的时间内,如果FTP连接始终处于空闲状态时,系统将自动断开FTP连接。
如果变更端口号前FTPS服务已经启动,则不能变更成功。需执行undo ftp [ ipv6 ] secure-server命令关闭FTPS服务,再进行端口号变更。
当客户端与设备之间的文件操作结束后,请执行undo ftp [ ipv6 ] secure-server命令,及时关闭FTPS服务器功能,从而保证设备的安全。
- 配置FTP本地用户
当用户通过FTPS进行文件操作时,需要在作为FTPS服务器的设备上配置本地用户名及口令,指定用户的服务类型以及可以访问的目录。否则用户将无法访问设备。
表7-31 配置FTP本地用户操作步骤
命令
说明
进入系统视图
system-view
-
进入AAA视图
aaa
-
配置本地用户名和密码
local-user user-name password irreversible-cipher password
-
配置本地用户级别
local-user user-name privilege level level
说明:必须将用户级别配置在3级或3级以上,否则FTP连接将无法成功。
配置本地用户的服务类型为FTP
local-user user-name service-type ftp
缺省情况下,本地用户可以使用所有的接入类型。
配置FTP用户的授权目录
local-user user-name ftp-directory directory
缺省情况下,本地用户的FTP目录为空。
当有多个FTP用户且有相同的授权目录时,可以执行set default ftp-directory directory命令,为FTP用户配置缺省工作目录。此时,不需要通过local-user user-name ftp-directory directory命令为每个用户配置授权目录。
- 用户通过FTPS访问设备
需要在用户终端安装支持SSL的FTP客户端软件,通过第三方软件从用户终端登录FTPS服务器,实现对FTPS服务器进行文件的安全管理。
由于文件系统对根目录下的文件个数有限制,当根目录中文件个数大于50个时,继续在根目录中创建文件可能会失败。