FTPS客户端配置示例

S600-E V200R019C10 配置指南-基础配置

本文档介绍了基础配置，具体包括熟悉命令行、登录密码管理、EasyDeploy配置、首次登录设备、登录设备命令行界面、登录设备Web网管界面、文件管理、配置系统启动、BootLoad菜单操作等。

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

FTPS客户端配置示例

组网需求

用户希望终端与设备之间进行安全的文件传输操作，因为传统的FTP不具备安全机制，采用明文的形式传输数据，会造成“中间人”攻击和网络欺骗。可在设备上部署SSL策略，利用数据加密、身份验证和消息完整性验证机制，为网络上数据的传输提供安全性保证。SSL是在传统FTP服务的基础上提供安全连接，从而很大程度上改善了传统FTP服务器安全性问题。

如图7-11所示，FTPS客户端和服务器之间路由可达，要求从客户端连接到安全FTP（FTPS）服务器上实现远程管理文件。

在作为FTPS客户端的设备上部署SSL策略，并加载CA证书文件，检查证书持有者身份的合法性，并签发证书，以防证书被伪造或篡改，以及对证书和密钥进行管理。
在作为FTPS服务器的设备上部署SSL策略，加载数字证书并使能安全FTP服务器功能，检查CA证书文件的合法性，保证合法客户端安全登录服务器。

服务器和客户端所要加载的证书文件需要预先从CA获取。此例中用华为设备作为FTPS服务器。

图7-11 配置通过FTPS访问其他设备文件组网图

配置思路

采用如下的思路配置通过FTPS访问其他设备文件配置示例：

上传证书。
- 将数字证书及私钥文件上传至作为FTPS服务器的设备上。
- 将CA证书文件上传至作为FTP客户端的设备上。
加载证书，并配置SSL策略。
- 将服务器根目录下的数字证书文件拷贝到security子目录中，再配置SSL策略并加载数字证书。
- 将客户端根目录下的CA证书文件拷贝到security子目录中，再配置SSL策略并加载CA证书文件。
在FTP服务器端使能安全FTP服务器功能及配置FTP本地用户。
在客户端通过FTP命令连接安全FTP服务器，实现远程文件管理。

操作步骤

上传证书。

在客户端和服务器分别配置普通FTP服务功能，将所需证书文件上传至客户端和服务器。具体操作可参考通过FTP进行文件操作。

# 上传完成后，使用dir命令，在服务器端可看到成功上传的数字证书及私钥文件。

<HUAWEI> system-view
[HUAWEI] sysname FTPS_Server
[FTPS_Server] quit
<FTPS_Server> dir
Directory of flash:/

  Idx  Attr     Size(Byte)  Date        Time       FileName
    0  drw-              -  May 10 2011 05:05:40   src
    1  -rw-        524,575  May 10 2011 05:05:53   private-data.txt
    2  -rw-            446  May 10 2011 05:05:51   vrpcfg.zip
    3  -rw-          1,302  Mar 13 2012 18:23:28   4_servercert_der_dsa.der
    4  -rw-            951  Mar 13 2012 18:30:20   4_serverkey_der_dsa.der
...

65,233 KB total (7,289 KB free)

# 在客户端使用dir命令，可看到成功上传的CA证书文件。

<HUAWEI> system-view
[HUAWEI] sysname FTPS_Client
[FTPS_Client] quit
<FTPS_Client> dir
Directory of flash:/

  Idx  Attr     Size(Byte)  Date        Time       FileName
    0  -rw-        524,558  May 10 2011 04:50:39   private-data.txt
    1  -rw-          1,237  Mar 14 2012 07:46:24   cacert.der
    2  -rw-          1,241  Mar 14 2012 07:46:20   rootcert.der
    3  drw-              -  Apr 09 2011 19:46:14   src
    4  -rw-            421  Apr 09 2011 19:46:14   vrpcfg.zip
    5  -rw-      1,308,478  Apr 14 2011 19:22:45   we1.zip
    6  drw-              -  Apr 10 2011 01:35:54   logfile
    7  -rw-              4  Apr 19 2011 04:24:28   snmpnotilog.txt
    8  drw-              -  Apr 13 2011 11:37:40   lam
...

65,233 KB total (17,489 KB free)

配置SSL策略并加载证书。

在服务器上进行如下配置。

# 创建security子目录，并将安全证书移动到security子目录。

<FTPS_Server> mkdir security/
<FTPS_Server> move 4_servercert_der_dsa.der security/
<FTPS_Server> move 4_serverkey_der_dsa.der security/

# 上述步骤成功执行后，在security子目录下执行命令dir，可看到拷贝成功的数字证书及私钥文件。

<FTPS_Server> cd security/
<FTPS_Server> dir
Directory of flash:/security/

  Idx  Attr     Size(Byte)  Date        Time       FileName
    0  -rw-          1,302  Mar 13 2012 18:23:28   4_servercert_der_dsa.der
    1  -rw-            951  Mar 13 2012 18:30:20   4_serverkey_der_dsa.der

65,233 KB total (7,289 KB free)

# 创建SSL策略，并加载ASN1格式的数字证书。

<FTPS_Server> system-view
[FTPS_Server] ssl policy ftp_server
[FTPS_Server-ssl-policy-ftp_server] certificate load asn1-cert 4_servercert_der_dsa.der key-pair dsa key-file 4_serverkey_der_dsa.der
[FTPS_Server-ssl-policy-ftp_server] quit

# 上述步骤成功配置后，在服务器端执行命令display ssl policy，可以看到加载的证书详细信息。

[FTPS_Server] display ssl policy

       SSL Policy Name: ftp_server
     Policy Applicants: 
         Key-pair Type: DSA
 Certificate File Type: ASN1
      Certificate Type: certificate
  Certificate Filename: 4_servercert_der_dsa.der
     Key-file Filename: 4_serverkey_der_dsa.der
             Auth-code: 
                   MAC:
              CRL File:
       Trusted-CA File:
           Issuer Name:
   Validity Not Before:
    Validity Not After:

在客户端进行如下配置。

# 创建security子目录，并将CA证书文件移动到security子目录。

<FTPS_Client> mkdir security/
<FTPS_Client> move cacert.der security/
<FTPS_Client> move rootcert.der security/

# CA证书文件拷贝到security子目录后，在security子目录下执行命令dir，可看到拷贝成功的CA证书文件。

<FTPS_Client> cd security/
<FTPS_Client> dir
Directory of flash:/security/

  Idx  Attr     Size(Byte)  Date        Time       FileName
    0  -rw-          1,237  Mar 14 2012 07:46:24   cacert.der
    1  -rw-          1,241  Mar 14 2012 07:46:20   rootcert.der

65,233 KB total (17,489 KB free)

# 创建SSL策略，并加载CA证书文件。

<FTPS_Client> system-view
[FTPS_Client] ssl policy ftp_client
[FTPS_Client-ssl-policy-ftp_client] trusted-ca load asn1-ca cacert.der
[FTPS_Client-ssl-policy-ftp_client] trusted-ca load asn1-ca rootcert.der
[FTPS_Client-ssl-policy-ftp_client] quit

# 上述步骤成功配置后，在FTP客户端执行命令display ssl policy，可以看到加载的CA证书文件详细信息。

[FTPS_Client] display ssl policy

       SSL Policy Name: ftp_client
     Policy Applicants:
         Key-pair Type:
 Certificate File Type:
      Certificate Type:
  Certificate Filename:
     Key-file Filename:
             Auth-code:
                   MAC:
              CRL File:
       Trusted-CA File:
     Trusted-CA File 1: Format = ASN1, Filename = cacert.der
     Trusted-CA File 2: Format = ASN1, Filename = rootcert.der

使能安全FTP服务器功能及配置FTP本地用户。

# 使能安全FTP服务器功能。

使能安全FTP服务功能，必须去使能普通FTP服务器功能。

[FTPS_Server] undo ftp server
[FTPS_Server] ftp secure-server ssl-policy ftp_server
[FTPS_Server] ftp secure-server enable

# 配置FTP本地用户。

[FTPS_Server] aaa
[FTPS_Server-aaa] local-user admin password irreversible-cipher Helloworld@6789
[FTPS_Server-aaa] local-user admin service-type ftp
[FTPS_Server-aaa] local-user admin privilege level 3
[FTPS_Server-aaa] local-user admin ftp-directory flash:
[FTPS_Server-aaa] quit

此用户可以使用上传证书时FTP用户，也可重新配置新的用户。

在FTPS客户端通过FTP命令登录安全FTP服务器实现远程文件管理。

[FTPS_Client] ftp ssl-policy ftp_client 10.1.1.1
Trying 10.1.1.1 ...
Press CTRL+K to abort
Connected to 10.1.1.1.
220 FTP service ready.
234 AUTH command successfully, Security mechanism accepted.
200 PBSZ is ok.
200 Data channel security level is changed to private.
User(10.1.1.1:(none)):admin
331 Password required for admin.
Enter password:
230 User logged in.

[ftp]

在客户端需要正确输入用户名和密码，才能通过FTPS方式成功登录FTPS服务器。

检查配置结果。

# 在安全FTP服务器端执行命令display ftp-server，可以看到SSL策略名称、安全FTP服务器的状态是running。

[FTPS_Server] display ftp-server
   FTP server is stopped
   Max user number                 5
   User count                      1
   Timeout value(in minute)        30
   Listening port                  21
   Acl number                      0
   FTP server's source address     0.0.0.0
   FTP SSL policy                  ftp_server
   FTP Secure-server is running

在客户端，用户可远程管理服务器上的文件。

配置文件

FTPS_Server的配置文件

#
sysname FTPS_Server
#
FTP secure-server enable
ftp secure-server ssl-policy ftp_server
#
aaa
 local-user admin password irreversible-cipher $1a$P2m&M5d"'JHR7b~SrcHF\Z\,2R"t&6V|zOLh9y$>M\bjG$D>%@Ug/<3I$+=Y$
 local-user admin privilege level 3 
 local-user admin ftp-directory flash:
 local-user admin service-type ftp
#
ssl policy ftp_server
 certificate load asn1-cert 4_servercert_der_dsa.der key-pair dsa key-file 4_serverkey_der_dsa.der
#      
return

FTPS_Client的配置文件

#
sysname FTPS_Client
#
ssl policy ftp_client
 trusted-ca load asn1-ca cacert.der
 trusted-ca load asn1-ca rootcert.der
#
return

组网需求
配置思路

翻译

English

下载文档

更新时间：2022-05-25

文档编号：EDOC1100127228

浏览量：22466

下载量：36

平均得分:

本文档适用于这些产品

数字签名

数字签名验证工具

企业业务网站

华为云网站

运营商网络业务网站

消费者业务网站

集团网站