Xlight FTP服務(wù)器可以和標(biāo)準(zhǔn)FTP協(xié)議一起使用SSL/TLS功能加密控制和數(shù)據(jù)通道. Xlight FTP服務(wù)器支持在SSL之上的兩種工作方式: "顯式SSL"以及"隱式SSL".

顯式SSL 是一種機(jī)制, 其中當(dāng)FTP客戶(hù)端希望使用安全的加密控制連接時(shí), 它需要顯式的發(fā)出AUTH命令例如 "AUTH TLS" 或 "AUTH SSL" 以初始化SSL握手過(guò)程并和FTP服務(wù)器之間建立安全的加密控制連接. AUTH命令必須在FTP客戶(hù)登錄之前發(fā)出. 如果FTP客戶(hù)端沒(méi)有發(fā)出AUTH命令,它和FTP服務(wù)器之間的控制連接將保持未加密狀態(tài).

隱式SSL 是另一種機(jī)制, 其中FTP服務(wù)器要求FTP客戶(hù)必須初始化SSL握手過(guò)程并和FTP服務(wù)器之間建立安全的加密控制連接, 加密控制連接建立之后FTP命令才能夠被送到FTP服務(wù)器. 如果FTP客戶(hù)不支持SSL功能,或它和服務(wù)器之間沒(méi)有建立安全的加密控制連接,FTP服務(wù)器將不對(duì)來(lái)自FTP客戶(hù)的命令做出任何反應(yīng).

在這個(gè)例子里,我們將演示如何在Xlight FTP服務(wù)器里使用SSL/TLS功能. 注意: 30-天試用期后,這個(gè)功能只被標(biāo)準(zhǔn)版和專(zhuān)業(yè)版的Xlight FTP服務(wù)器支持.

使用SSL/TLS功能, 你需要做的第一件事是創(chuàng)建或選擇一個(gè)已有的X.509證書(shū)作為服務(wù)器證書(shū). 這個(gè)證書(shū)可以是由有效CA簽發(fā)的實(shí)際證書(shū),或者是自簽名證書(shū).

Xlight FTP服務(wù)器使用的X.509服務(wù)期證書(shū)必須放在"本地計(jì)算機(jī)"的"個(gè)人"證書(shū)商店中. 這個(gè)證書(shū)位置和微軟IIS服務(wù)期使用的SSL證書(shū)在相同位置. 因此如果你有一個(gè)為IIS服務(wù)器使用的有效證書(shū), 你可以很方便的將它同時(shí)用在Xlight FTP服務(wù)器上.

1. 到 [全局選項(xiàng)] -> [高級(jí)] -> [服務(wù)器SSL證書(shū)] 創(chuàng)建或選擇一個(gè)服務(wù)器證書(shū). 在這個(gè)例子里我們已經(jīng)創(chuàng)建了一個(gè)自簽名證書(shū),它的CN是 "test-cert", 我們選擇這個(gè)證書(shū)作為服務(wù)器證書(shū),如下圖所示.

2. 到 [虛擬服務(wù)器設(shè)置] -> [通用] -> [啟用虛擬服務(wù)器SSL功能] 選擇需要使用的SSL方式. 在這個(gè)例子里,我們選擇隱式SSL,如下圖所示.

經(jīng)過(guò)上面步驟后, 你就完成了SSL/TLS功能的設(shè)置,可以使用服務(wù)器證書(shū)加密FTP服務(wù)器和FTP客戶(hù)端之間的控制和數(shù)據(jù)通道.

Xlight FTP服務(wù)器支持SSL客戶(hù)端認(rèn)證. SSL客戶(hù)端認(rèn)證是另一種在FTP服務(wù)器端驗(yàn)證客戶(hù)端身份的方式. 使用SSL客戶(hù)端認(rèn)證后, 在SSL握手的過(guò)程中, FTP客戶(hù)端必須發(fā)送有效的X.509客戶(hù)端證書(shū)給FTP服務(wù)器. 客戶(hù)端證書(shū)包含用戶(hù)的信息, 它向FTP服務(wù)器證明客戶(hù)的身份.

1. 客戶(hù)端證書(shū)必須由受信任的CA頒發(fā), 你不能使用自簽名證書(shū)作為客戶(hù)端證書(shū). 頒發(fā)客戶(hù)端證書(shū)的CA必須存在于服務(wù)器的證書(shū)商店"本地計(jì)算機(jī)"中的 受信任的根證書(shū)頒發(fā)機(jī)構(gòu)(Trusted Root Certificate Authorities)里. 否則客戶(hù)證書(shū)無(wú)法通過(guò)服務(wù)器端的認(rèn)證. 如下圖微軟的mmc工具的證書(shū)快照所示.

2. SSL客戶(hù)端認(rèn)證為隱式SSL模式支持. 到 [虛擬服務(wù)器設(shè)置] -> [通用] -> [啟用虛擬服務(wù)器SSL功能], 選擇"要求客戶(hù)端證書(shū)" 如下圖所示.

經(jīng)過(guò)上面步驟后, 你就可以使用SSL客戶(hù)端認(rèn)證功能.