FTP服务器的工作原理NOVOTSKMS.docVIP

FTP服务器的工作原理 FTP是一种能实现下载文件的协议，FTP的协议连接有两种方式，一种是控制连接，一种是数据连接，FTP的数据连接方式中也有两种模式，一种是主动模式，一种是被动模式。 主动模式的工作原理 被动模式的工作原理 Vsftpd的相关配置信息 Vsftpd+ssl实现安全的ftps 禁用匿名用户登陆（因为匿名用户无需认证） anonymous_enable=no 2）自建CA服务器 A）生成自己的私钥文件 (umask 077;openssl genrsa -out /etc/vsftpd/ftpkey.pri 2048) umask 077：用括号括起来，则表示此umsak只对当前子shell有效，如果不用括号，则对当前shell都生效，在此创建文件时属组和其它用户将没有任何权限 openssl genrsa：生成私钥的命令关键字 -out：指定文件的路径 ftpkey.pri：私钥的名称，名字可以随便取，用.pri结尾是为了方便记忆 2048：指私钥生成的位，默认是512，必须是2的n次方倍数 B）利用私钥文件生成证书签署请求文件 openssl req -new -key /etc/vsftpd/ftpkey.pri -out /etc/vsftpd/ftpreq.csr req：证书请求和证书生成工具的命令关键字 -new：制作证书申请 -key：指定私钥文件 -out：输出证书请求文件的路径，以.csr结尾 C）生成CA的私钥文件 (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) 生成CA的私钥文件的存放路径一般存放于/etc/pki/CA/private路径下 E）颁发ftp的证书（需要到/etc/pki/tls/misc目录下执行） openssl ca -in /etc/vsftpd/ftpreq.csr -out /etc/vsftpd/certftp.crt -days 3650 openssl ca ：颁发CA证书的命令关键字 -in：指定证书签署请求文件 -out：输出颁发证书的文件 -days：限定证书的有效期，3650天 CA机构实际环境中：由公司提交签署证书的请求文件，ftpreq.csr，CA机构根据此请求文件，颁发签署证书文件certftp.crt 注：这里如果报错 证明证书颁发失败，是因为服务器自身就没证书，颁发不了，可以查看/etc/pki/CA目录 所以需要自己给主机建立证书，按照如下步骤： cd /etc/pki/tls/misc ./CA -newca 修改vsftpd配置文件支持ssl 最后客户端使用FlashFXP软件测试