FTP客户端为FlashFTP
FTP服务端为Serv-U
一、Serv-U启用SSL加密协议
I、创建SSL证书
要想使用Serv-U的SSL功能,需要SSL证书的支持才行。虽然Serv-U在安装之时就已经自动生成了一个SSL证书,但这个默认生成的SSL证书在所有的Serv-U服务器中都是一样的,非常不安全,所以我们需要手工创建一个自己独特的SSL证书。
第一步:在“Serv-U管理员”窗口中,展开“本地服务器→设置”选项,然后切换到“SSL证书”标签页。
第二步:创建一个新的SSL证书。首先在“普通名称”栏中输入FTP服务器的IP地址,接着其它栏目的内容,如电子邮件、组织和单位等,根据用户的情况进行填写。完成后,点击下方的“应用”按钮,这时Serv-U会生成一个新的SSL证书。
第三步:切换到“高级”标签页,选中“启用安全”选项,点击下面“应用”按钮完成设置。
II、启用SSL功能
虽然为Serv-U服务器创建了新的SSL证书,但默认情况下,Serv-U是没有启用SSL功能的,要想利用该SSL证书,首先要启用Serv-U的SSL功能才行。
第一步:要启用Serv-U服务器中“域”名为“softer”的SSL功能。在“Serv-U管理员”窗口中,依次展开“本地服务器→域→softer”选项。
第二步:在右侧的“域”管理框中找到“安全性”下拉列表选项。这里Serv-U提供了3种选项,分别是“仅仅规则FTP,无SSL/TLS进程”、“允许SSL/TLS和规则进程”、“只允许SSL/TLS进程”,默认情况下,Serv-U使用的是“仅仅规则FTP,无SSL/TLS进程”,因此是没有启用SSL加密功能的。
第三步:在“安全性”下拉选项框种选择“只允许SSL/TLS进程”选项,然后点击“应用”按钮,即可启用softer域的SSL功能。
小提示:启用了SSL功能后,Serv-U服务器使用的默认端口号就不再是“21”了,而是“990”了,这点在登录FTP的时候一定要留意,否则就会无法成功连接Serv-U服务器。
第四步:点击FTP帐户,在右边的“常规”标签页中,选中“需要安全链接”选项,点击“应用”完成配置。
III、使用SSL加密连接FTP
启用Serv-U服务器的SSL功能后,就可以利用此功能安全传输数据了,但FTP客户端程序必须支持SSL功能才行。如果我们直接使用IE浏览器进行登录则会出现错误信息,这是因为IE浏览器不支持SSL协议传输。
当然支持SSL的FTP客户端程序现在也比较多,以“FlashFXP”程序为例,介绍如何连接到启用了SSL功能的Serv-U服务器。
第一步:运行“FlashFXP”程序后,点击“会话→快速连接”选项,弹出“快速连接”对话框,在“服务器或URL”栏中输入Serv-U服务器的IP地址,在“端口”栏中一定要输入“990”,这是因为Serv-U服务器启用SSL功能后,端口号就从“21”变为“990”。
第二步:输入登录FTP服务器的“用户名”和“密码”。
第三步:切换到“SSL”标签页,选中“绝对SSL”选项,这一步骤是非常关键的,如果不选中“绝对SSL”,就无法成功连接到Serv-U服务器。最后点击“连接”按钮。根据实际传输情况在“绝对SSL”下方的四个选项进行选择即可,一般默认即可,或全选也行。
第四步:当用户第一次连接到Serv-U服务器时,FlashFXP会弹出一个“证书”对话框,这时用户只要点击“接受并保存”按钮,将SSL证书下载到本地后,就能成功连接到Serv-U服务器,以后和Serv-U服务器间的数据传送就会受到SSL功能的保护,不再是以明文形式传送,这样就不用再担心FTP账号被盗,敏感信息被窃取的问题了。在FlashFXP的下方我们也会看到一个小锁的标志了,他代表当前传输是加密安全的传输。
小提示:如果我们仅仅选择接受则每次登录FTP时都会弹出这个证书对话框。
小提示:什么是SSL加密协议?SSL协议(Secure Socket Layer,安全套接层)是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。所以使用SSL协议后我们就可以保证网络中传输的数据不被非法用户窃取到了。
FlashFxp启用SSL连接:数据Socket错误:连接被拒的解决办法
根据上面的教程逐步设置,客户端采用FlashFxp,但是非常遗憾连接不上去,出现以下错误提示:[右]数据 Socket 错误: 连接被拒
[右]列表错误
[右]PASV 模式失败, 尝试 PORT 模式。
[右]列表错误
错误原因
出现这个错误,并不是说明Serv-U开启SSL加密协议方法错误,而一般是路由上未将PASV端口做映射或者是在“TCP/IP筛选”中只设置了开启端口,比如只允许TCP端口:80,3389,21,990等。如果是这样的话,就会出现上面的错误。
解决办法
第一步:由于PASV端口默认由Serv-U控制,随机范围太大,不易控制,所以要先缩小PASV的端口范围。在“Serv-U管理员”窗口中,展开“本地服务器→设置”选项,然后切换到“高级”标签页。
第二步:设置“PASV端口范围”。随便设置,比如我设置为991-991。这里关键问题是,设置好PASV的端口范围,目的就是要允许PASV端口,如果使用的路由,这里要将这个991端口映射到服务器上去;如果采用“TCP/IP筛选”,则需要添加这个端口,并重启生效。当然,我只填写一个端口,所以填写991-991,也可以填写连续的端口,由Serv-U自动分配。比如可以填写991-999,那么同样道理,991-999这9个端口都要做映射或允许。