在IIS 7.5中安装和配置基于SSL的FTP(FTPS)

发布: 2017-2-12 17:52 | 作者: 阿雲莱 | 来源: 雲莱网络

本指南将向您介绍如何在IIS 7.5中安装 FTP服务器以及如何配置 FTP over SSL(FTPS)。

FTP over SSL(FTPS)允许对FTP会话进行加密。在FTP客户端正在建立与服务器的连接时,将FTP流量保护为用户名和密码,默认情况下以纯文本形式通过网络发送是非常重要的。

注意:在本指南中,我假设您的服务器环境是Windows Server 2008 R2,并且已安装IIS 7.5,但不安装FTP服务器。我还假设您要向现有网站添加FTP发布 - 在下面的示例中,这将是默认网站。

安装FTP服务器 在Server 2008 R2中,FTP服务器是可以在Web服务器角色下找到的模块。要安装它,请执行以下操作:
  1. 单击 开始 > 运行 ,然后 在打开 对话框中输入 servermanager.msc, 然后单击 确定 以加载 服务器管理器:

    CODE:

    servermanager.msc
  2. 点击角色在左窗格中的角色部分将出现在右窗格中。找到Web服务器(IIS)部分,然后单击添加角色服务:


    ftp1.jpg

  3. 在选择角色服务中 向下滚动到底部并检查 FTP服务器,FTP服务和FTP可扩展性, 然后单击下一步,然后安装:
  4. 安装完成后,单击关闭。要 通过命令行安装 FTP服务器, FTP服务 和 FTP可扩展性,请运行以下命令:

    CODE:

    CMD /C PKGMGR.EXE /iu:IIS-FTPServer;IIS-FTPSvc;IIS-FTPExtensibility配置FTP服务器
  5. 单击开始 > 运行 ,然后在对话框中输入inetmgr,然后单击确定以加载Internet 信息服务(IIS)管理器。
  6. 一旦IIS管理器打开选择默认网站 ,然后单击 添加FTP发布 在操作窗格下突出显示如下:
  7. 在“ 绑定和SSL设置”部分中,根据下面的屏幕截图配置设置,然后单击下一步:


    ftp2.jpg

    注意:如果您希望您的FTP站点使用特定的IP地址,请从下拉菜单中选择它,否则保留默认设置,将所有FTP流量绑定到您正在创建的站点。
  8. 在下一部分中根据下面的屏幕截图进行配置。在“ 验证 ”下,确保仅 选中“ 基本”。在授权下,确保您的FTP用户帐户设置在指定的用户框下,然后单击完成:


    ftp3.jpg

    此时,已在默认网站上启用基本FTP发布。
  9. 接下来,单击服务器 对象,然后在右窗格中双击FTP防火墙支持 图标:


    ftp5.jpg

  10. 我正在配置FTP连接以使用被动传输,数据通道端口范围将设置为0-0 ,防火墙的外部IP地址应留空(如下所示):


    ftp4.jpg

    注意:此环境中的防火墙是内置的Windows软件防火墙。由于它提供状态包检测(SPI),我们不需要为被动传输指定端口范围,因为防火墙将检测哪些端口是动态需要的,并允许数据传输通过。有关为FTP配置防火墙的详细信息,请参阅这个链接。
  11. 接下来,单击默认网站 ,然后在右窗格中双击FTP防火墙支持 图标。当此加载输入FTP站点的公共IP地址,然后单击右侧的操作窗格下的应用:
  12. 在IIS管理器中,单击服务器对象,在中心窗格中打开服务器证书:
  13. 然后单击右侧的“ 操作 ”窗格中的“ 创建自签名证书 ”:
  14. 键入证书的名称,我使用FTP站点证书,但任何描述性名称就足够了,然后单击确定:
  15. 现在,您将在列表中看到创建的证书:
  16. 再次单击服务器对象并打开FTP SSL设置:
  17. 在SSL证书下选择我们之前创建的证书。在SSL策略下,选择自定义,然后单击高级按钮:
  18. 在控制通道下选择仅需要凭据,在数据通道下选择要求,然后单击确定:
  19. 现在点击默认Web站点,然后打开FTP SSL设置,并确保配置相同的设置为服务器级别的步骤进行15 - 17未按规定配置FTP SSL设置在 BOTH的 服务器和 网站与结果水平FTP连接错误如下: 响应:534服务器上的本地策略不允许TLS安全连接。 错误:严重错误 错误:无法连接到服务器
  20. 点击默认网站,然后单击绑定在操作窗格中:
  21. 在“ 站点绑定”部分中,单击“ 添加”按钮:
  22. 在添加站点绑定部分中,选择类型为ftp,将IP地址框留为所有未分配,然后输入FTP站点的主机名,然后单击确定:
  23. 确认您可以看到新的FTP站点绑定,然后单击关闭:
  24. 尽管仍然在默认Web站点上下文菜单中选择高级设置在操作窗格中查看FTP站点的主目录-这将是对物理路径默认Web站点:
  25. 您将需要配置ftp_user帐户具有对C:\ inetpub \ wwwroot的写入权限 ,以便您能够将文件上传到此目录。NTFS权限应按如下配置:
  26. 如前所述,我的环境使用Windows软件防火墙。需要启用以允许FTP和FTP通信的规则有: 入站规则 FTP服务器(FTP流入) FTP服务器被动(FTP被动流入) FTP服务器安全(FTP SSL流入) 出站规则 不适用 - 因为公共流量的默认设置是允许不匹配规则的出站连接。 连接到FTP站点
  27. 唯一剩下要做的就是测试来自您的FTP客户端的连接。您将需要以下连接信息, 根据您的特定设置仅更改主机,用户和密码字段: 主机:ftp.XXX.com 协议:FTP - 文件传输协议 加密:需要显式FTP over TLS 登录类型:正常 用户:ftp.XXX.com | 用户 密码:********** 注意:用户字段必须为 ftp.XXX.com|User 以允许成功验证。虚拟主机名是一个要求,FTP服务器正在等待该字符串,如果没有看到它,那么您将看到以下错误: 状态:正在连接到ftp.XXX.com ... 状态:建立连接,正在等待欢迎消息... 响应:220 Microsoft FTP服务 命令:AUTH TLS 响应:234 AUTH命令确定。期待TLS协商。 状态:正在初始化TLS ... 状态:正在验证证书... 命令:USER 用户 状态:已建立TLS / SSL连接。 响应:530需要有效的主机名。 错误:无法连接到服务器
  28. 输入FTP站点的相关连接信息后,单击连接,并假定连接成功,您将看到一个弹出框,显示我们之前创建的未知证书:
  29. 选中“ 在以后的会话中始终信任证书 ”框 ,然后单击 “确定”。之后,您将连接到主目录: