Linux入门学习到精通1. 前言
本教程是假设你的vsftp服务正在运行并且无异常,关于如何在Linux系统中搭建vsftp服务,请先参考以下教程。
CentOS搭建ftp服务器
配置好vsftp服务后,请再往下看,以下教程相当于给你的vsftp提供加密服务。
2. 创建存储数字证书的目录
用于存放即将申请的数字证书(当然是自己给自己颁发,简单快速,只用于实验和小规模应用)
[root@zcwyou ~]# mkdir /etc/ssl/private
3. 创建自签名证书
自签名证书仅用于小规模应用,公众业务站点请申请著名机构颁发的SSL证书。
自签名证书最大的问题是:客户连接FTP站点时,FTP客户端弹出警告信息,原因是该证书的颁发机构不在信任列表中。安全保障方面,只要能保证私钥不外泄,自签名证书与第三方著名机构颁发的证书无差别。
[root@zcwyou ~]# openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout /etc/ssl/private/vsftpd.pem -out /etc/ssl/private/vsftpd.pem
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
在底部加入以下内容:
rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
4. 重启vsftp服务
CentOS 6重启vsftp服务
[root@zcwyou ~]# /etc/init.d/vsftpd restart
CentOS7重启vsftp服务
[root@zcwyou ~]# systemctl restart vsftpd
5. 开机自启动ftp服务
CentOS6:
[root@zcwyou ~]# chkconfig vsftpd on
CentOS7:
[root@zcwyou ~]# systemctl enable vsftpd
6. 验证
下载ftp客户端filezilla
https://filezilla-project.org/
出现这一警告提示,意思是该证书不可信任,由一个不著名的机构颁发。
该提示并不影响传输安装,只要私钥文件/etc/ssl/private/vsftpd.pem不外泄,传输仍然是安全的。如果不想出现这样的提示,可以考虑向著名的SSL证书机构申请一个SSL证书。
评论前必须登录!
注册