Xlight FTP服務(wù)器可以和標(biāo)準(zhǔn)FTP協(xié)議一起使用SSL/TLS功能加密控制和數(shù)據(jù)通道. Xlight FTP服務(wù)器支持在SSL之上的兩種工作方式: "顯式SSL"以及"隱式SSL".

顯式SSL 是一種機(jī)制, 其中當(dāng)FTP客戶端希望使用安全的加密控制連接時(shí), 它需要顯式的發(fā)出AUTH命令例如 "AUTH TLS" 或 "AUTH SSL" 以初始化SSL握手過程并和FTP服務(wù)器之間建立安全的加密控制連接. AUTH命令必須在FTP客戶登錄之前發(fā)出. 如果FTP客戶端沒有發(fā)出AUTH命令,它和FTP服務(wù)器之間的控制連接將保持未加密狀態(tài).

隱式SSL 是另一種機(jī)制, 其中FTP服務(wù)器要求FTP客戶必須初始化SSL握手過程并和FTP服務(wù)器之間建立安全的加密控制連接, 加密控制連接建立之后FTP命令才能夠被送到FTP服務(wù)器. 如果FTP客戶不支持SSL功能,或它和服務(wù)器之間沒有建立安全的加密控制連接,FTP服務(wù)器將不對來自FTP客戶的命令做出任何反應(yīng).

在這個(gè)例子里,我們將演示如何在Xlight FTP服務(wù)器里使用SSL/TLS功能. 注意: 30-天試用期后,這個(gè)功能只被標(biāo)準(zhǔn)版和專業(yè)版的Xlight FTP服務(wù)器支持.

使用SSL/TLS功能, 你需要做的第一件事是創(chuàng)建或選擇一個(gè)已有的X.509證書作為服務(wù)器證書. 這個(gè)證書可以是由有效CA簽發(fā)的實(shí)際證書,或者是自簽名證書.

Xlight FTP服務(wù)器使用的X.509服務(wù)期證書必須放在"本地計(jì)算機(jī)"的"個(gè)人"證書商店中. 這個(gè)證書位置和微軟IIS服務(wù)期使用的SSL證書在相同位置. 因此如果你有一個(gè)為IIS服務(wù)器使用的有效證書, 你可以很方便的將它同時(shí)用在Xlight FTP服務(wù)器上.

1. 到 [全局選項(xiàng)] -> [高級] -> [服務(wù)器SSL證書] 創(chuàng)建或選擇一個(gè)服務(wù)器證書. 在這個(gè)例子里我們已經(jīng)創(chuàng)建了一個(gè)自簽名證書,它的CN是 "test-cert", 我們選擇這個(gè)證書作為服務(wù)器證書,如下圖所示.

2. 到 [虛擬服務(wù)器設(shè)置] -> [通用] -> [啟用虛擬服務(wù)器SSL功能] 選擇需要使用的SSL方式. 在這個(gè)例子里,我們選擇隱式SSL,如下圖所示.

經(jīng)過上面步驟后, 你就完成了SSL/TLS功能的設(shè)置,可以使用服務(wù)器證書加密FTP服務(wù)器和FTP客戶端之間的控制和數(shù)據(jù)通道.

Xlight FTP服務(wù)器支持SSL客戶端認(rèn)證. SSL客戶端認(rèn)證是另一種在FTP服務(wù)器端驗(yàn)證客戶端身份的方式. 使用SSL客戶端認(rèn)證后, 在SSL握手的過程中, FTP客戶端必須發(fā)送有效的X.509客戶端證書給FTP服務(wù)器. 客戶端證書包含用戶的信息, 它向FTP服務(wù)器證明客戶的身份.