FTPS(FTP over SSL)在 Windows 伺服器上自 IIS 7.0 開始引入,當時它是一個獨立的附加元件,需要單獨下載。IIS 7.5 及以後的每個版本都內置了 FTPS 功能,因此只需安裝 IIS 管理員和/或包含在 IIS 包中的 FTP 服務,即可設置安全的 FTP 連接。
在繼續以下說明之前,請確保已考慮以下前提條件:
讓我們描述添加支持 SSL 的 FTP 站點及其 SSL 設置的過程。
創建支持 SSL 的 FTP 站點
- 打開 IIS 管理員(運行 -> inetmgr -> 按回車鍵)。
- 將鼠標懸停在窗口左側的 連接 面板上,點擊 站點 節點,並在右側的 操作 面板中按 添加 FTP 站點。
- 在 FTP 站點名稱 字段中輸入 FTP 站點的名稱。在 物理路徑 字段中指定根文件夾的路徑。實際的 FTP 根文件夾的路徑可能與示例中顯示的路徑不同。填寫所有字段後,點擊 下一步 繼續。
- 在 綁定和 SSL 設置頁面 上,有幾個字段需要修改:
- IP 地址 - 增加 FTP 站點的特定 IP 地址或保留所有未分配選項。
- 端口 - 此字段包含 FTP 站點將通過的端口號。默認端口號是 21。
- 如果您打算托管多個 FTP 服務器,則應勾選 啟用虛擬主機名稱 復選框,並填寫相應字段。
- 在 SSL 子部分中應選擇 允許 SSL 單選按鈕。此選項將允許以安全或非安全模式連接到 FTP 站點,給 FTP 連接處理提供更大的靈活性。稍後將進一步詳細說明如何在允許 SSL 和要求 SSL 之間切換整個 FTP 站點或特定通道。在這一點上,值得提的是,允許 SSL 的模式比要求 SSL 更可取,原因可參見 這裡。
- 從 SSL 證書 子部分的下拉列表中選擇預先導入的 SSL 證書。
完成所有設置後,點擊下一步繼續。 - 在 身份驗證和授權信息 屏幕上,對於 身份驗證 選擇 基本,並在 授權 子部分中設置 FTP 站點的用戶。有幾種選擇來設置用戶及其權限,因此實際設置可能與屏幕截圖中的設置不同。
完成後,點擊 完成 以完成添加新的支持 SSL 的 FTP 站點。
為 FTP 站點配置其他 SSL 設置
一般而言,Windows 伺服器和客戶端之間的 FTP 通信分為控制通道(用於身份驗證和發送 FTP 命令)和數據通道(用於數據傳輸)。
IIS 管理員和 FTP 服務提供靈活的設置,以便讓 FTP 客戶端決定 FTP 流量是否應該部分或完全加密。
| 控制通道策略 | 數據通道策略 | 描述 |
|---|---|---|
| SslAllow | SslAllow | 此配置允許客戶端決定 FTP 會話的任何部分是否應被加密。 |
| SslRequireCredentialsOnly | SslAllow | 此配置保護 FTP 客戶端的憑據不被竊聽,並允許客戶端決定數據傳輸是否應被加密。 |
| SslRequireCredentialsOnly | SslRequire | 此配置要求客戶端的憑據必須是安全的,然後允許客戶端決定 FTP 命令是否應被加密。不過,所有數據傳輸必須被加密。 |
| SslRequire | SslRequire | 此配置是最安全的——客戶端必須在允許其他 FTP 命令之前,使用與 FTPS 相關的命令協商 SSL,並且所有數據傳輸必須被加密。 |
讓我們看看如何使用 IIS 管理員修改上述設置:
- 在 IIS 主頁上,選擇新創建的 FTP 站點(如有需要,展開站點節點),然後雙擊站點主頁部分中的 FTP SSL 設置 圖標。
- 在 SSL 策略 部分,選擇 自定義 單選按鈕,然後點擊 高級 以打開 高級 SSL 策略 設置。
- 在 高級 SSL 策略 屏幕中,有機會自定義控制和數據通道的特定設置,如上表所述。
- 設置完成後,單擊 確定,然後在 IIS 管理員右側的 操作 面板中點擊 應用 以保存配置更改。
