WS_FTP Server 与 CuteFTP 双向 SSL 证书认证

Author: Hagen.GoO 转载请注明作者出处
MSN contact： wantm009@hotmail.com
Keyword: WS_FTP CuteFTP FTP SSL 证书
Quote：http://www.xfocus.net/articles/200404/692.html

通常情况，FTP 的客户端（例如 FlashFXP）使用 SSL 连接某 FTP 服务器时需经过几个步骤：

1、客户端通过TCP协议连接到服务端
2、客户端发起连接询问，发送自身所能实现的“安全集合”，其中包含加密和签名算法协商
3、服务端回应连接，包含本次通讯所使用的算法集合，以及服务端证书
4、客户收到证书后，使用服务端协商的算法，用服务端证书中包含的服务器公钥加密一个随机序列，作为一个挑战质询发回服务器
5、服务端收到加密密文，使用自身私钥进行数据解密，如果成功，代表协商匹配，可以开始通讯
6、协商完毕，开始加密数据传输

这样使用单向数字证书，虽能抵制网路嗅探，但是对于 Keylogger 这样的键盘记录器，或者用户密码人为泄漏等的安全隐患还是无能为力。

IpSwitch 的 FTP 服务端软件 WS_FTP Server 有一个非常好的功能，就是可以强制向客户端请求 SSL 安全证书。下面就结合 CuteFTP 客户端证书上传功能，简述一下如何使用双向 SSL 连接。

1 CuteFTP 生成 SSL 证书

打开 CuteFTP 7.0 Professional，点击菜单 "Tools" - "Global Options"；
在弹出的对话框中，选 "Security" - "SSL Security"；
勾选 "Use SSL certificate when authenticating"
点击按钮 "Create certificate"
在 "Create Client SSL Certificate Set" 对话框中，依提示生成 CuteFTP 的证书
注意在第三步时，请选 "Set up CuteFTP to use the generated certificate" 让 CuteFTP 自动启用新证书

2 发送 CuteFTP 的新证书到 WS_FTP Server

CuteFTP 生成的一组文件包括 .key 的私钥、.crt的证书文件、.csr的证书签署请求文件。
请妥善保管 .key 的私钥和私钥短语，切不可泄漏，外传。
把 .csr 文件通过 Email，或移动硬盘等工具，传到 WS_FTP Server 所在服务器。

3 在 WS_FTP Server 上开启 SSL

打开 WS_FTP Server Manger，选择域名列表下的 SSL 选项，
勾选 "Enable SSL" （允许SSL）
再勾选 "Force clients to use SSL conneciongs" （强制用户使用 SSL 连接）
选择 "Client Certificates are verified upon connection" （校验客户端证书）

4 在 WS_FTP Server 上生成服务端证书

依照 http://hagengoo.blogspot.com/2006/03/wsftp-server-504.html 文章，生成并启用 WS_FTP Server 的服务端证书。

5 在 WS_FTP Server 上导入 CuteFTP 的证书

在 WS_FTP Server SSL 的 "Certificate Management" 的 "Trusted Authorities" 页面，点击下部的 "Import" 按钮，导入刚才的 CuteFTP 方传过来的证书。

6 操作完毕，重启 WS_FTP Server 服务。

经过这6步的操作，客户端的 CuteFTP 和 服务器的 WS_FTP Server 就能使用双向的 SSL 证书认证。只要 CuteFTP 的私钥不丢失，即使别人得到了 FTP 的登陆密码，也是不能非法登陆的。对于企业 FTP 服务器的安全性有一定程度上的提高。