linux ftps ftp-over-ssl 配置实验

jhyji · 发表于 2015-9-16 08:49:16

ftps是借助ssl协议加密的，ssl是为http/smtp 等加密设置的。sftp是借助ssh加密，ssh是为telnet/ftp等加密，建立传输通道而设计的
ssh建立通道就是为了加密和传输，ftps 从原理上将就是 ftp-over-ssl的意思即ftp借助ssl协议加密传输，不但要用ftp服务器还要用ssl协
议加密。sftp协议是ssh中的一条独立的协议，利用sftp服务器就可以传输数据。
下面为搭建&测试  此实验中ca 服务器与 ftp服务器处于同一台机器上
1.安装- 直接用 yum安装，修改配置文件即可
2.修改配置文件。
   1）直接cp 原来的配置文件（简单做个备份）
      cp vsftpd.conf vsftpd.conf.bak
   2）修改新的配置文件,配置文件内容如下：
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ftpd_banner=Welcome zhongyan FTP Server  ^_^ !
download_enable=NO                                           #禁止下载
anonymous_enable=NO                                        #禁止匿名用户登录
local_enable=YES                                                 #允许实体用户登录
idle_session_timeout=600
write_enable=YES
local_umask=022
xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/vsftpd.log
chroot_list_enable=YES                                        #是否启用chroot文件
chroot_list_file=/etc/vsftpd/chroot_list                #指定chroot文件位置
listen=YES
listen_port=3232
listen_address=0.0.0.0
pasv_enable=YES                                                 #是否开启被动模式
pasv_min_port=22222
pasv_max_port=22228
pam_service_name=vsftpd                                  #pam模块的名称
userlist_enable=YES                                           #启用userlist_enable
userlist_deny=NO                                              #如果值为NO 则只有在列表中的用户名才能使用ftp 如果值为YES时则列表里的用户不能访问。
userlist_file=/etc/vsftpd/user_list                         #指定文件位置
#tcp_wrappers=YES

                                                   #如下配置文件内容设置ssl传输加密。下一部分详解。
####ssl#####
ssl_enable=YES
ssl_sslv2=YES

ssl_tlsv1=YES
ssl_sslv3=YES

force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/vsftpd/certs/vsftpd.cert
rsa_private_key_file=/etc/vsftpd/certs/vsftpd.key
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
无注释版本配置文件可以直接粘贴奥！！：
ftpd_banner=Welcome to zhongyan FTP Server  ^_^ !
download_enable=NO
anonymous_enable=NO
local_enable=YES
idle_session_timeout=600
write_enable=YES
local_umask=022
xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/vsftpd.log
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
listen=YES
listen_port=21
listen_address=0.0.0.0
pasv_enable=YES
pasv_min_port=22222
pasv_max_port=22228
pam_service_name=vsftpd
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd/user_list
#tcp_wrappers=YES

####ssl#####
ssl_enable=YES
ssl_sslv2=YES

ssl_tlsv1=YES
ssl_sslv3=YES

force_local_data_ssl=YES
force_local_logins_ssl=YES
rsa_cert_file=/etc/vsftpd/certs/vsftpd.cert
rsa_private_key_file=/etc/vsftpd/certs/vsftpd.key
################################################################

3，设置传输方式为ssl加密传输（重点在此）搭建ca服务器。
   首先检查下是否安装了 openssl
cd /etc/pki/tls/
vim openssl.cnf
    QQ截图20150916084833.png

   cd /etc/pki/CA/    #切换到与CA服务器有关的目录
   mkdir certs       #建立与证书有关的目录
   mkdir newcerts    #与新证书有关的目录
   mkdir crl    #证书吊销列表
   touch index.txt
   touch serial
   echo "01"  >  serial    #给serial一个初始值
   openssl genrsa 1024 > private/cakey.pem  #使用非对称加密算法rsa，采用1024为算法，得到一个密钥存放在private/cakey.pem中
   chmod 600 private/cakey.pem    #私钥不允许别人查看，所以将cakey.pem文件的权限改为600，只有所属用户可以读写
   openssl req -new -key private/cakey.pem -x509 -out  cacert.pem -days 3650 #使用CA服务器自己的私钥cakey.pem产生一个证书cacert.pem

      此处填写本ca服务器的站点，其他的使用默认即可

   mkdir -pv /etc/vsftpd/certs #创建一个目录，存放于vsftp有关的证书，证书请求，密钥
   cd /etc/vsftpd/certs/
   openssl genrsa 1024 > vsftpd.key   #非对称加密算法rsa，使用1024位，算出一个密钥vsftp.key
   openssl req -new -key vsftpd.key -out vsftpd.csr   #利用私钥vsftp.key产生一个证书请求文件vsftp.csr

      此处填写 ftp站点的 fqdn全称。
   openssl ca -in vsftpd.csr -out vsftpd.cert    #利用证书请求文件的到一个证书vsftp.cert
   chmod 600 *    #将该目录下的文件权限全部改为600，即所属用户可读写

   修改配置文件：
   添加上上述配置文件中关于ssl部分的配置。

4,。启动并设置开机启动
   chkconfig  vsftpd on
   /etc/init.d/vsftpd  start
5.验证

采用客户端的方式来验证
   下载：FlashFXP 5
   配置如下：
QQ截图20150916084849.png