1. Location:
  2. / Computer learning >> Datamaskin læring >> cyber security >> nettverk >> nettverksprotokoller >>

Konfigurasjon av IIS vert for et FTP-område (del 3)

Innledning
I forrige artikkel i denne serien, viste jeg deg hvordan du kan få IIS 7.0-versjon av FTP-tjenester. I denne artikkelen vil jeg vise deg hvordan du legger SSL-kryptering til FTP-området.
Anskaffe et SSL-sertifikat
Før FTP-serveren vil være i stand til å gi SSL-kryptering, trenger du en X.509 sertifikat. Du kan enten kjøpe sertifikatet fra en kommersiell sertifiseringsinstans for eksempel VeriSign eller Thawte, eller du kan bruke en i huset sertifikat myndighet til å utstede sertifikatet.
I forbindelse med denne artikkelen, jeg kommer til å anta at du har en Windows 2008 server som er konfigurert til å fungere som et foretak sertifiseringsinstans. Jeg vil vise deg hvordan å utstede en forespørsel sertifikat og laste ned nødvendig sertifikat i neste avsnitt. Hvis du får SSL-sertifikat fra en kommersiell sertifiseringsinstans, så kan du hoppe over neste avsnitt.
Anskaffe et SSL-sertifikat
For å bruke SSL-kryptering, må vi sende en forespørsel til vår Enterprise Certificate Authority. For hensikten med denne artikkelen, jeg kommer til å anta at FTP-serveren er medlem av samme Active Directory-skogen som din Enterprise Certificate Authority.
Vil be om de nødvendige sertifikat, åpne Internet Explorer og skriver inn nettadressen som er assosiert med Enterprise Certificate Authority. Som standard er den URL http: //< servernavn > /Certsrv
. Når du skriver inn denne nettadressen, vil du vanligvis må oppgi Enterprise Certificate Authority fullt kvalifisert domenenavn i stedet for bare å skrive inn serverens NetBIOS navn.
Når du går inn i Enterprise Certificate Authority URL, logge inn i Active Directory Certificate Services webområde legge en domeneadministrator (om nødvendig). Når du har gjort det, klikker du på Be om et sertifikat link. Du skal nå se en skjerm som spør deg om du ønsker å be om et brukersertifikat, eller hvis du ønsker å sende en avansert forespørsel sertifikat. Klikk på Advanced Certificate Request alternativ.
Følgende skjermbilde gir deg et valg for å utstede en forespørsel direkte til sertifiseringsinstansen eller laste opp et sertifikat forespørsel fil som er kodet i Base-64 eller i PKCS # 10-format. Klikk på Opprett og sende en forespørsel til Denne CA link.
På dette punktet, kan du bli bedt om å installere en ActiveX-kontroll. Hvis det skjer, kan du gå videre og installere kontrollen og la den kjøre.
Du skal nå være på hoved Advanced Certificate Request skjermen. Velg Web Server alternativ fra sertifikatmal nedtrekkslisten. Nå må du angi noen grunnleggende identifikasjon informasjon som kan inkluderes i sertifikatet ditt. Dette inkluderer ting som navn, e-postadresse, postadresse og telefonnummer.
I Nøkkel Valg-delen, velg alternativet for å opprette en ny Key Set. Du bør også kontrollere at Cryptographic Service Provider (CSP) er satt til Microsoft RSA SChannel Cryptographic Provider, og at Key Størrelse er satt til 1024, som vist i figur A.
Figur A:
Du må sørge for at den kryptografiske Service Provider (CSP) er satt til Microsoft RSA SChannel Cryptographic Provider, og at Key Størrelse er satt til 1024
nå, bla ned til bunnen av grensesnittet, og klikk på Send knapp. Du skal se en advarsel om at nettstedet prøver å generere en sertifikatforespørsel. Klikk Ja for å la forespørsel om å gå gjennom. Når prosessen er ferdig, skal du se en melding om at et sertifikat ble utstedt til deg, og spør deg om du vil installere det. Gå videre og klikk på Installer dette sertifikatet link. Nok en gang, vil du se en advarsel om at nettstedet forsøker å installere et sertifikat. Klikk Ja for å tillate drift.
Du skal se en melding om at sertifikatet ble installert, men vi må sørge for. For å gjøre dette, skriv MMC kommando ved Run teksten på FTP-serveren. Når du gjør det, vil Windows åpne en tom forekomst av Microsoft Management Console. På dette punktet, må du velge Legg til /fjern snapin-In kommando fra konsollens Fil-menyen. Dette vil få Windows til å vise Legg til eller fjern snapin-moduler dialogboksen.
Velg Sertifikater alternativ fra listen over tilgjengelige snap-ins, og klikk på Legg til. Du vil nå bli spurt om konsollen bør brukes til å administrere sertifikater for brukerkontoen din, en tjenestekonto, eller datamaskinkontoen. Velg Computer Account alternativet, og klikk på Neste.
Følgende skjerm vil spørre deg om du ønsker å administrere sertifikater for den lokale datamaskinen, eller hvis du ønsker å administrere sertifikater for en annen datamaskin på nettverket. Sørg for at den lokale alternativet Computer er valgt, og klikk deretter på Fullfør-knappen, etterfulgt av OK-knappen.
Konsollen skal nå laste Sertifikater snap-in. Du må nå navigere gjennom konsolltreet til Konsollrot | Sertifikater (lokal datamaskin) | Personlig | Sertifikater. Når du velger Sertifikater container, bør detaljruten vise deg sertifikatet som har blitt utstedt.
Aktivere SSL for FTP Server
Nå som vi har en SSL-sertifikat, kan vi aktivere SSL-kryptering for vår FTP-server. Å gjøre slik. Åpne Internet Information Services (IIS) Manager. Navigere gjennom konsolltreet til < server > | Nettsteder | < FTP-området >. Med din FTP-området valgt, dobbeltklikk på SSL-innstillinger ikonet FTP, som ligger i detaljruten.
Konsollen skal nå vise FTP SSL-innstillinger. Velg SSL-sertifikat fra SSL Certificate nedtrekkslisten, som vist i Figur B. Du får deretter muligheten til enten slik at SSL-tilkoblinger eller for å kreve SSL-tilkoblinger. Du kan også velge å bruke 128 bits kryptering for bedre sikkerhet. Klikk på knappen Bruk for å lagre endringene
Figur B:.
Velg sertifikatet fra SSL-sertifikater nedtrekkslisten
bruker SSL eller ikke å bruke SSL
.? Ved første, å ha muligheten til å bruke SSL for din FTP-området høres sikkert ut som en no brainer. Tross alt, er kryptering en god ting, ikke sant? Ikke nødvendigvis.
En av ulempene med å bruke SSL-kryptering er at krypteringsprosessen øker CPU arbeidsmengde. Den ekstra arbeidsbelastning er trolig verdt det hvis du sender sensitiv informasjon frem og tilbake, eller hvis FTP-området brukes bare av og til. Hvis du forventer FTP-området blir mye brukt om, så er det en god idé å gjøre noen tester for å være sikker på at krypteringsprosessen ikke kommer til å føre til ytelsesproblemer for serveren.
Jeg anbefaler å overvåke Performance Monitor prosessor /% Processor Tid teller både før og etter SSL-kryptering er aktivert. Toppene i CPU aktivitet er normalt, men den gjennomsnittlige utnyttelsesgraden bør ligge under 80%. Ellers betyr det at CPU er å ha problemer med å holde tritt med kravene som blir gjort av det.
Konklusjon
Å ha muligheten til å kryptere FTP-området er fint, men det er ikke alt. Uten skikkelig sikkerhet er det fortsatt mulig for noen å logge på FTP-området anonymt, selv om SSL-kryptering er aktivert. I del 4, vil jeg konkludere serien ved å diskutere autorisasjon for FTP-områder.