FTPS服务器配置示例
组网需求
如图7-6所示,终端与设备之间路由可达,10.137.217.201是设备的管理IP地址。
用户希望终端与设备之间进行安全的文件传输操作,因为传统的FTP不具备安全机制,采用明文的形式传输数据,会造成“中间人”攻击和网络欺骗。可在设备上部署SSL策略,利用数据加密、身份验证和消息完整性验证机制,为网络上数据的传输提供安全性保证。SSL是在传统FTP服务的基础上提供安全连接,从而很大程度上改善了传统FTP服务器安全性问题。
配置思路
采用如下的思路配置通过FTPS进行文件操作:
先配置设备的普通FTP功能,将PC上存储的数字证书上传到设备上。
将FTPS服务器根目录下的数字证书拷贝到security子目录中,再配置SSL策略并加载数字证书,以实现客户端对服务器的身份验证。
使能安全FTP服务器功能及配置FTP本地用户。
用户通过终端第三方软件连接FTPS服务器。
操作步骤
- 先配置服务器的普通FTP功能,将PC上存储的数字证书上传到服务器上。
# 配置普通FTP功能:使能FTP功能和配置FTP用户信息。
<HUAWEI> system-view [HUAWEI] sysname FTPS_Server [FTPS_Server] ftp server enable [FTPS_Server] aaa [FTPS_Server-aaa] local-user admin password irreversible-cipher huawei@6789 [FTPS_Server-aaa] local-user admin service-type ftp [FTPS_Server-aaa] local-user admin privilege level 3 [FTPS_Server-aaa] local-user admin ftp-directory flash: [FTPS_Server-aaa] quit [FTPS_Server] quit
# 在终端PC上进入windows命令行提示符输入,执行ftp命令指定FTP服务器的连接地址。然后输入正确的用户名和密码与FTP服务器建立FTP连接。在用户终端将数字证书及私钥文件上传到服务器上。
上述步骤成功执行后,在FTP服务器端执行命令dir,可看到成功上传的数字证书及私钥文件。
<FTPS_Server> dir Directory of flash:/ Idx Attr Size(Byte) Date Time FileName 0 drw- - May 10 2011 05:05:40 src 1 -rw- 524,575 May 10 2011 05:05:53 private-data.txt 2 -rw- 446 May 10 2011 05:05:51 vrpcfg.zip 3 -rw- 1,302 May 10 2011 05:32:05 4_servercert_der_dsa.der 4 -rw- 951 May 10 2011 05:32:44 4_serverkey_der_dsa.der ... 65,233 KB total (7,289 KB free)
- 配置SSL策略并加载数字证书。
# 创建security子目录,并将安全证书移动到security子目录。
<FTPS_Server> mkdir security/ <FTPS_Server> move 4_servercert_der_dsa.der security/ <FTPS_Server> move 4_serverkey_der_dsa.der security/
上述步骤成功执行后,在security子目录下执行命令dir,可看到拷贝成功的数字证书及私钥文件。<FTPS_Server> cd security/ <FTPS_Server> dir Directory of flash:/security/ Idx Attr Size(Byte) Date Time FileName 0 -rw- 1,302 May 10 2011 05:44:34 4_servercert_der_dsa.der 1 -rw- 951 May 10 2011 05:45:22 4_serverkey_der_dsa.der 65,233 KB total (7,289 KB free)
# 创建SSL策略,并加载ASN1格式的数字证书。<FTPS_Server> system-view [FTPS_Server] ssl policy ftp_server [FTPS_Server-ssl-policy-ftp_server] certificate load asn1-cert 4_servercert_der_dsa.der key-pair dsa key-file 4_serverkey_der_dsa.der [FTPS_Server-ssl-policy-ftp_server] quit
- 使能安全FTP服务器功能及配置FTP本地用户。
# 使能安全FTP服务器功能。
使能安全FTP服务功能,必须去使能普通FTP服务器功能。
[FTPS_Server] undo ftp server [FTPS_Server] ftp secure-server ssl-policy ftp_server [FTPS_Server] ftp secure-server enable
# 配置FTP本地用户。
使用上面配置过的admin用户即可。
- 用户通过终端第三方软件连接FTPS服务器。
具体操作过程请参见第三方软件的帮助文档。
- 检查配置结果。
# 在安全FTP服务器端执行命令display ssl policy,可以看到加载的证书详细信息。
[FTPS_Server] display ssl policy SSL Policy Name: ftp_server Policy Applicants: Key-pair Type: DSA Certificate File Type: ASN1 Certificate Type: certificate Certificate Filename: 4_servercert_der_dsa.der Key-file Filename: 4_serverkey_der_dsa.der Auth-code: MAC: CRL File: Trusted-CA File: Issuer Name: Validity Not Before: Validity Not After:
# 在安全FTP服务器端执行命令display ftp-server,可以看到SSL策略名称、安全FTP服务器的状态是running。
[FTPS_Server] display ftp-server FTP server is stopped Max user number 5 User count 1 Timeout value(in minute) 30 Listening port 21 Acl number 0 FTP server's source address 0.0.0.0 FTP SSL policy ftp_server FTP Secure-server is running
# 用户可以通过支持SSL的FTP客户端软件与安全FTP服务器建立连接,并实现文件的上传和下载。
配置文件
FTPS_Server的配置文件
# sysname FTPS_Server # FTP secure-server enable ftp secure-server ssl-policy ftp_server # aaa local-user admin password irreversible-cipher $1a$P2m&M5d"'JHR7b~SrcHF\Z\,2R"t&6V|zOLh9y$>M\bjG$D>%@Ug/<3I$+=Y$ local-user admin privilege level 3 local-user admin ftp-directory flash: local-user admin service-type ftp # ssl policy ftp_server certificate load asn1-cert 4_servercert_der_dsa.der key-pair dsa key-file 4_serverkey_der_dsa.der # return