[收藏]用SSL加密增强FTP服务器安全性

天云上人

  作者：未知 来源：中国电脑教育报 加入时间：2005-5-15 阅读次数：468
$ _" @5 F9 b0 s, o  Z
* |8 F9 u5 O: P9 n一般的FTP服务器是以明文方式传输数据的，安全性极差，信息很容易被盗，即使它提供了SSL加密功能，默认情况下也可能没有启用，如大家常用的Serv-U FTP服务器（以下简称Serv-U）。为了保证特殊环境下的数据安全，有时是有必要启用SSL功能的。下面笔者以Serv-U服务器为例，介绍如何启用SSL加密功能。
& t  E7 [7 ], K  [' s( _6 e* a
( `& V, X6 e4 l0 l& {创建SSL证书
$ K) }# I. Y6 w8 o, ]
要想使用Serv-U的SSL功能，当然需要SSL证书的支持才行。虽然Serv-U 在安装之时就已经自动生成了一个SSL证书，但这个默认生成的SSL证书在所有的Serv-U服务器中都是一样的，非常不安全，所以我们需要手工创建一个新的SSL证书。
6 _% R& |& P! e* E( L& a
* ~+ c8 |2 A0 P笔者以Serv-U5.0汉化版为例，在“Serv-U管理员”窗口中，展开“本地服务器→设置”选项，然后切换到“SSL证书”标签页，在这里笔者创建一个新的SSL证书。

2 ]1 b- H, D. \首先在“普通名称”栏中输入FTP服务器的IP地址，接着其它栏目的内容，如电子邮件、组织和单位等，根据用户的情况进行填写，完成SSL证书标签页中所有内容的填写后，点击下方的“应用”按钮即可，这时Serv-U就会生成一个新的SSL证书。
/ Y4 O5 L6 m: y) u7 W
( k" M/ |  y9 R' o3 X2 C3 d& M, m启用SSL功能
* @1 `5 e( {* e, D  b8 \
虽然为Serv-U服务器创建了新的SSL证书，但默认情况下，Serv-U是没有启用SSL功能的，要想利用该SSL证书，首先要启用Serv-U的SSL功能才行。
" w3 _7 h! j6 Q" W+ [  E6 S) ~6 z+ X
这里笔者要启用Serv-U服务器中域名为“RTJ”的SSL功能。在“Serv-U管理员”窗口中，依次展开“本地服务器→域→ RTJ”选项，然后在右侧的“域”管理框中找到“安全性”下拉列表选项。这里Serv-U提供了3种选项，分别是“仅仅规则FTP，无SSL/TLS进程”、“允许SSL/TLS和规则进程”、“只允许SSL/TLS进程”，默认情况下，Serv-U使用的是“仅仅规则FTP，无SSL/TLS进程”，因此是没有启用SSL加密功能的。在这里，笔者在“安全性”下拉选项框种选择“只允许SSL/TLS进程”选项，然后点击“应用”按钮，即可启用RTJ域的SSL功能。
& x& I- ~6 g  z+ c2 S0 q4 g9 y; w
5 n& j9 h+ b" m# \6 f, `( v注意：启用了SSL功能后，Serv-U服务器使用的默认端口号就不再是“21”了，而是“990”了，这点FTP用户一定要留意，否则就会无法成功连接Serv-U服务器。

SSL应用

& U4 Q: q  ~7 S9 c启用Serv-U服务器的SSL功能后，就可以利用此功能安全传输数据了，但FTP客户端程序必须支持SSL功能才行。
9 X, ~$ E3 G. f, V+ f* \
7 b. Z' y/ h, f% ?+ P( y. ~支持SSL的FTP客户端程序现在也比较多，笔者以“Flash FXP”程序为例，介绍如何成功连接到启用了SSL功能的Serv-U服务器。运行“FlashFXP”程序后，点击“会话→快速连接”选项，弹出“快速连接”对话框，在“服务器或URL”栏中输入Serv-U服务器的IP地址，在“端口”栏中一定要输入“990”，这是因为Serv-U服务器启用SSL功能后，端口号就从“21”变为“990”；接着在“用户名”和“密码”栏中输入用户的登录账号。

然后切换到“SSL”标签页，选中“隐式SSL”选项，这一步骤是非常关键的，如果不选中“隐式SSL”，就无法成功连接到Serv-U服务器。最后点击“连接”按钮。
( g- k0 \$ `- h+ |: L/ m( G
当用户第一次连接到Serv-U服务器时，Flash FXP会弹出一个“证书”对话框，这时用户只要点击“接受并保存”按钮，将SSL证书下载到本地后，就能成功连接到Serv-U服务器，以后和Serv-U服务器间的数据传送就会受到SSL功能的保护，不再是以明文形式传送，这样就不用再担心FTP账号被盗，敏感信息被窃取的问题了。