Użycie IIS do hostingu strony FTP: jak włączyć szyfrowanie SSL dla FTP.
Wstęp
W poprzednim artykule z tej serii pokazałem w jaki sposób można zdobyć wersję IIS 7.0 usług FTP. W niniejszym artykule omówię jak dodać szyfrowanie SSL do strony FTP.
Pozyskanie certyfikatu SSL
Zanim serwer FTP będzie w stanie zapewnić szyfrowanie SSL, będziesz potrzebował certyfikatu X.509. Można go zakupić w komercyjnym urzędzie certyfikacji, np. w VeriSign czy Thawte lub można skorzystać z domowego urzędu certyfikacji do wydania świadectwa.
Dla celów niniejszego artykułu zakładam, że masz system Windows 2008 Server i że jest on skonfigurowany do działania jako urząd certyfikacji przedsiębiorstwa. W następnym rozdziale pokażę, jak wystawić prośbę o certyfikat i pobrać niezbędne certyfikaty. Jeśli uzyskujesz certyfikat SSL z komercyjnego urzędu certyfikacji, możesz pominąć kolejny rozdział.
Pozyskanie certyfikatu SSL
Aby móc korzystać z szyfrowania SSL, trzeba wystąpić z prośbą do swojego korporacyjnego urzędu certyfikacji. Dla celów niniejszego artykułu zakładam, że Twój serwer FTP jest członkiem tego samego lasu Active Directory co Twój korporacyjny urząd certyfikacji.
Aby złożyć prośbę o niezbędny certyfikat, otwórz Internet Explorer i wpisz adres URL, który jest związany z Twoim korporacyjnym urzędem certyfikacji. Domyślnie adres URL wygląda tak: https:///CertSrv. Podczas wpisywania tego adresu URL, trzeba zazwyczaj podać pełną nazwę domeny korporacyjnego urzędu certyfikacji, a nie jedynie nazwę serwera NetBIOS.
Po wprowadzeniu adresu URL korporacyjnego urzędu certyfikacji, zaloguj się do usługi Active Directory Certificate Services w sieci, jeśli jest taka potrzeba, dodaj administratora domeny. Następnie kliknij na link „Request a Certificate” (Prośba o Certyfikat). Teraz powinieneś zobaczyć ekran z pytaniem czy chcesz prosić o certyfikat użytkownika, czy chciałbyś złożyć rozszerzoną prośbę o certyfikat. Kliknij na opcję „Advanced Certificate Request”.
Poniższy ekran daje wybór złożenia prośby bezpośrednio do urzędu certyfikacji lub wysłania pliku z prośbą o certyfikat zakodowanego w formacie Base-64 lub PKCS # 10. Kliknij na link „Create and Submit a Request to This CA”.
W tym momencie może pojawić się monit dotyczący zainstalowania kontrolki ActiveX. Jeśli tak się stanie, śmiało go zainstaluj i pozwól mu działać.
Teraz powinieneś się znajdować na głównym ekranie Advanced Certificate Request. Wybierz opcję Web Server z rozwijanej listy Certificate Template. Musisz teraz wpisać podstawowe dane identyfikacyjne, które mogą być uwzględnione w certyfikacie. Są to takie rzeczy, jak: imię, nazwisko, adres e-mail, adres pocztowy i numer telefonu.
W sekcji „Key Options”(Opcje Kluczy), wybierz opcję „Create a New Key Set” (Utwórz Nowy Zestaw Kluczy). Należy również sprawdzić, czy Cryptographic Service Provider (CSP - Dostawca Usług Kryptograficznych) jest ustawiony na Microsoft RSA SChannel Cryptographic Provider oraz że Key Size (Rozmiar Klucza) jest ustawiony na 1024, jak pokazano na rysunku A.
Rysunek A: Należy się upewnić, że Dostawca Usług Kryptograficznych jest ustawiony na Microsoft RSA SChannel Cryptographic Provider, a Rozmiar Klucza na 1024
Teraz, przejdź do dolnej części interfejsu, a następnie kliknij przycisk „Submit” (Złóż/Wyślij). Powinien pojawić się komunikat ostrzegawczy z informacją, że witryna WWW próbuje wygenerować żądanie o certyfikat. Kliknij przycisk „Yes”, aby prośba/żądanie mogło przejść dalej. Po zakończeniu procesu, powinieneś zobaczyć komunikat z informacją, że certyfikat został wystawiony oraz pytanie, czy chcesz go zainstalować. Kliknij link „Install This Certificate” (Zainstaluj Ten Certyfikat). Po raz kolejny pojawi się komunikat ostrzegawczy z informacją, że witryna WWW próbuje zainstalować certyfikat. Kliknij przycisk „Yes”, aby zezwolić na operację.
Powinien pojawić się komunikat z informacją, że certyfikat został zainstalowany pomyślnie, ale należy się co do tego upewnić. Aby to zrobić, wpisz polecenie MMC w opcji „Uruchom” na serwerze FTP. Windows otworzy okno konsoli Microsoft Management Console. W tym momencie należy wybrać polecenie „Add / Remove Snap-In” (Dodaj/Usuń Przystawkę) w menu File (Plik) konsoli. Sprawi to, że system Windows będzie wyświetlać okno dialogowe „Add or Remove Snap-ins”.
Wybierz opcję „Certificates” z listy dostępnych wtyczek, a następnie kliknij przycisk „Add”. Wyświetli się teraz pytanie, czy konsola powinna być używana do zarządzania certyfikatami konta użytkownika, konta usługi czy konta komputera. Wybierz opcję „Computer Account” (Konto Komputera) i kliknij przycisk „Next”.
Kolejny ekran zapyta, czy chcesz zarządzać certyfikatami komputera lokalnego, czy chcesz zarządzać certyfikatami innego komputera w sieci. Upewnij się, że zaznaczona jest opcja „Local Computer” (Komputer Lokalny), kliknij przycisk „Finish”, a następnie „OK.”.
Konsola powinna w tym momencie załadować wtyczki certyfikatów. Musisz teraz przejść w drzewie konsoli do: Console Root | Certificates (Local Computer) | Personal | Certificates.. Po wybraniu kontenera Certificates, pole „Details” powinno pokazać Ci, że certyfikat został wydany.
Włączenie SSL dla serwera FTP
Teraz, gdy mamy certyfikat SSL, można włączyć szyfrowanie SSL dla naszego serwera FTP. Aby to zrobić, otwórz program Internet Information Services (IIS) Manager. Przejdź przez drzewo konsoli do | Sites | . Na wybranej witrynie FTP, kliknij dwukrotnie ikonę „FTP SSL settings” (ustawienia SSL FTP), która znajduje się w polu „Details”.
Konsola powinna teraz wyświetlić stronę „FTP SSL Settings”. Wybierz swój certyfikat SSL z rozwijanej listy “SSL Certificate”, jak pokazano na rysunku B. Będziesz miał dwie możliwości: zezwolić na połączenia SSL lub wymagać połączeń SSL. Możesz również wybrać 128-bitowe szyfrowanie dla większego bezpieczeństwa. Kliknij przycisk „Apply”, aby zapisać zmiany.
Rysunek B: Wybierz swój certyfikat z rozwijanej listy SSL Certificates
SSL: używać czy nie używać?
Na pierwszy rzut oka, opcja używania SSL dla swojej strony FTP prawdopodobnie brzmi niedorzecznie. Choć szyfrowanie jest chyba dobrą rzeczą… Niekoniecznie.
Jedną z wad do korzystania z szyfrowania SSL jest to, że proces szyfrowania zwiększa obciążenie procesorów. Warto je dodatkowo obciążyć pod warunkiem, że przesyłane są informacje poufne albo serwer FTP jest używany tylko sporadycznie. Jeśli przewidujesz, że serwer FTP będzie bardzo używany, dobrym pomysłem jest zrobienie kilku prób, aby upewnić się, że proces szyfrowania nie będzie powodować problemów z wydajnością serwera.
Polecam monitorowanie za pomocą licznika Performance Monitor’s Processor / %Processor Time zarówno przed jak i po włączeniu szyfrowania SSL. Szczyty w pracy procesora są rzeczą normalną, ale średnie wykorzystanie powinno pozostać poniżej 80%. W przeciwnym razie oznacza to, że procesor ma problem w sprostaniu wymogom.
Podsumowanie
Możliwość zaszyfrowania swojej strony FTP jest w porządku, ale to nie wszystko. Bez odpowiedniego zabezpieczenia ktoś nadal może się zalogować na Twoją stronę FTP anonimowo, nawet jeśli włączone jest szyfrowanie SSL. W części 4 zakończę temat tej serii poprzez omówienie uwierzytelniania dla witryn FTP.
Źródło: www.windowsnetworking.com
|
