FTP服务学习笔记之ssl/tls安全认证配置(3)

在Redhat5.8_X64bit上配置

一、实验说明

操作系统:Redhat5.8_x64bit

实验平台:VMware Workstation

实验目的:配置ftp基于ssl/tls安全认证

二、实验步骤如下:

1、安装vsftpd

#yum install vsftpd

#rpm -ql vsftpd

#service vsftpd start

#chkconfig vsftpd on

2、配置CA

#cd /etc/pki/CA

#mkdir certs newcerts crl

#touch index.txt

#echo 1 > serial

/**生成私钥**/

[[email protected] CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048;)

Generating RSA private key, 2048 bit long modulus

...............................................+++

...........................................+++

e is 65537 (0x10001)

/*生成自签证书*/

[[email protected] CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter ‘.‘, the field will be left blank.

-----

Country Name (2 letter code) [GB]:CN

State or Province Name (full name) [Berkshire]:Beijing

Locality Name (eg, city) [Newbury]:fengtai

Organization Name (eg, company) [My Company Ltd]:zengxin

Organizational Unit Name (eg, section) :Tech

Common Name (eg, your name or your server‘s hostname) []:ca.zengxin.com

Email Address []:[email protected]

3、生成vsftpd服务的私钥

# mkdir /etc/vsftpd/ssl   //创建ssl目录

# cd /etc/vsftpd/ssl/

/*生成vsftpd私钥*/

[[email protected] ssl]# (umask 077;openssl genrsa -out vsftpd.key 2048;)

Generating RSA private key, 2048 bit long modulus

.............................................+++

.........+++

e is 65537 (0x10001)

/*生成证书颁发请求*/

[[email protected] ssl]# openssl req -new -key vsftpd.key -out vsftpd.csr

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter ‘.‘, the field will be left blank.

-----

Country Name (2 letter code) [GB]:CN

State or Province Name (full name) [Berkshire]:Beijing

Locality Name (eg, city) [Newbury]:fengtai

Organization Name (eg, company) [My Company Ltd]:zengxin

Organizational Unit Name (eg, section) :Tech

Common Name (eg, your name or your server‘s hostname) []:ftp.zengxin.com

Email Address []:

Please enter the following ‘extra‘ attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

4、修改openssl.cnf配置文件

# vim /etc/pki/tls/openssl.cnf

修改

dir  = ../../CA

dir  = /etc/pki/CA

5、服务器端签发CA证书

[[email protected] ssl]# openssl ca -in vsftpd.csr -out vsftpd.crt

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 1 (0x1)

Validity

Not Before: Nov 28 08:04:32 2015 GMT

Not After : Nov 27 08:04:32 2016 GMT

Subject:

countryName               = CN

stateOrProvinceName       = Beijing

organizationName          = zengxin

organizationalUnitName    = Tech

commonName                = ftp.zengxin.com

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

50:C5:C8:45:52:CF:CB:CD:0B:AD:96:4E:1A:93:6D:3C:2D:F9:4A:7E

X509v3 Authority Key Identifier:

keyid:1C:A1:73:10:D1:5D:D2:C5:CE:CB:89:FB:18:2E:C2:BA:93:50:F7:25

Certificate is to be certified until Nov 27 08:04:32 2016 GMT (365 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

[[email protected] ssl]#

6、修改vsftpd.conf配置文件

# vim /etc/vsftpd/vsftpd.conf   -->添加如下内容

######ssl or tls#########

ssl_enable=YES

ssl_sslv3=YES

ssl_tlsv1=YES

allow_anon_ssl=NO

force_local_data_ssl=YES

force_local_logins_ssl=YES

rsa_cert_file=/etc/vsftpd/ssl/vsftpd.crt

rsa_private_key_file=/etc/vsftpd/ssl/vsftpd.key

#service vsftpd restart   //重启vsftpd服务

7、测试

[[email protected] ~]# ftp 192.168.3.3

Connected to 192.168.3.3.

220 (vsFTPd 2.0.5)

504 Unknown AUTH type.

504 Unknown AUTH type.

KERBEROS_V4 rejected as an authentication type

Name (192.168.3.3:root): ftp    //使用匿名用户登录

331 Please specify the password.

Password:

230 Login successful.    //登录成功

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> ls

227 Entering Passive Mode (192,168,3,3,33,2)

150 Here comes the directory listing.

drwxr-xr-x    2 0        0            4096 Dec 05  2011 pub

226 Directory send OK.

ftp>

[[email protected] ~]# ftp 192.168.3.3

Connected to 192.168.3.3.

220 (vsFTPd 2.0.5)

504 Unknown AUTH type.

504 Unknown AUTH type.

KERBEROS_V4 rejected as an authentication type

Name (192.168.3.3:root): lisi   //使用本地用户登录

530 Non-anonymous sessions must use encryption.  //提示非匿名用户需要通过认证登录

Login failed.

ftp>

在客户端使用FlashFXP登录服务器:

时间: 11-27

FTP服务学习笔记之ssl/tls安全认证配置(3)的相关文章

FTP服务学习笔记之基于MySQL+PAM的vsftpd虚拟用户

基于mysql+PAM的vsftpd虚拟用户配置 一.实验说明 操作系统:Redhat5.8_X64bit 实验平台:VMware Workstation 所需要的软件包:pam_mysql-0.7RC1.tar.gz 二.安装所需要程序 1.事先安装好开发环境和mysql数据库 # yum -y groupinstall "Development Tools" "Development Libraries" #yum -y install mysql-server

FTP服务学习笔记之vsftpd安装和配置(2)

在redhat5部署FTP服务 实验环境介绍: 操作系统:Redhat5.8_X64bit 实验平台:VMware Workstation 一.基于匿名用户的FTP服务部署 1.匿名FTP 访问匿名的FTP服务器时不需要密码,只需要用户名"ftp"和"anonymous". 2.安装vsftpd软件 #yum install vsftpd #rpm -ql vsftpd 3.启动vsftpd服务 #service vsftpd start #chkconfig vs

Sharepoint商务智能学习笔记之PowerPviot Service安装与配置(七)

1) PowerPviot Service多服务器部署注意事项 PowerPviot Service不是Sharepoint自带的服务,要想使用PowerPviot Service需要先在sharepoint场中部署PowerPivot for SharePoint.详情请参考在 SharePoint 场中规划 PowerPivot 部署. 如果sharepoint场是多服务器场,可以将PowerPivot for SharePoint以扩展方式部署到多个应用程序服务器上.对于 PowerPiv

STM32 FSMC学习笔记+补充(LCD的FSMC配置)

STM32 FSMC学习笔记+补充(LCD的FSMC配置) STM32 FSMC学习笔记 STM32 FSMC的用法--LCD

HCNP学习笔记之OSPF协议原理及配置9-基础知识特殊区域

为了减少外部路由对内部路由器的影响,可以通过设置特殊区域减少路由的数量. 因为对于内部路由不需要知道外部路由的明细. 即特殊区域是为了减少LSDB的规模. 1 stub区域,过滤了4类,5类 LSA,以一条到外部网络的默认路由替代. stub 区域实例: 由路由表可以看出,区域间路由(3类 network-summary-LSA)可以通告到stub中. 5类as-external-LSA被过滤,外部路由被转换成一条默认路由. 2 完全stub区域,过滤了3,4,5类LSA,拓扑和上例相同. 3

张高兴的 Xamarin.Android 学习笔记:(一)环境配置

最近在自学 Xamarin 和 Android ,同时发现国内在做 Xamarin 的不多.我在自学中间遇到了很多问题,而且百度到的很多教程也有些过时,现在打算写点东西稍微总结下,顺便帮后人指指路了.由于手头没啥中文资料,我也是自己摸索出来的,而且我对 Android 也只是处于最开始的了解阶段(学习笔记嘛,别学边写嘛╮(╯▽╰)╭),难免会出现错误,有问题大家共同讨论(毕竟 .Net 就要靠我们腾达了). 以 Visual Studio 2015 Community 为例. 1. 安装 Xam

oschina开源中国的Git服务学习笔记

Github虽然流行,但是由于网络原因访问困难,代码的同步速度也很让人纠结. 幸好oschina(开源中国)也提供了安全可靠的git版本服务,今天就来感受(折腾)oschina的git服务. (由于是从有道云笔记直接拷贝过来的,导致图片全部显示不出来,分享连接:http://note.youdao.com/share/?id=97ffdee8693f82b05ec89bd09360fe46&type=note ) 注册oschina https://git.oschina.net/signup

GP服务学习笔记(一)

GP服务发布的几个主要步骤: 1.发布地图服务; 2.新建相关脚本; 3.建立模型调用脚本; 4.在发布地图处理服务;5.对发布的地图处理服务进行测试,通过测试之后才进行开发. 学习过程中遇到的问题及心得: 1.一般通过测试之后的地图处理服务,通过ArcGIS API for JavaScript调用的时候一般不会有问题;所以要首先通过测试,避免浪费开发过程中的调试时间; 2.如果通过outputFeatrue=arcpy.getParemeterAsText(5),获取到的输出要素的格式是Te

名称服务 学习笔记

连接TCP/IP网络的接口都有一个IP地址.有IP地址的设备都有一个名称.IP地址是存数字难记,在连接网络设备方面名称就充当一个易记的角色. PS:名称和域名的区别,没弄懂........... 现在主流的把名称转化为地址的技术采用了域名系统.域名系统是一个分布式数据库系统.域名服务器分布在世界各地,他们的层次结构类似于树状结构.最顶层是根服务器(好像是13台),往下一层一层的像树枝一样展开.没有一台服务器拥有完整完全的域名信息,但可以知道可以去哪台域名服务器去查找这些信息.另外,每台服务器都有