В. Если поддерживает, то как настроить эту поддержку? Можно ли это сделать только для защищенной передачи учетных данных пользователя FTP?
О. Сервер FTP из состава IIS поддерживает FTP over SSL начиная с версии IIS 7.0, входящей в состав Windows Server 2008. Для включения поддержки FTP over SSL сначала необходимо получить действующий SSL-сертификат, настроенный для работы с вашим веб-сервером. Вы можете создать самозаверенный сертификат, получить сертификат от своего корпоративного удостоверяющего центра Certification Authority (CA), либо от коммерческого удостоверяющего центра. SSL-сертификат можно настроить через пункт меню Server Certificates («Сертификаты сервера»), доступный в центральной панели диспетчера служб IIS, при выборе вашего веб-сервера.
Также необходимо включить использование SSL при запуске протокола FTP на веб-сайте. Для включения FTP в диспетчере служб IIS выберите веб-сайт и в панели Actions («Действия») укажите Add FTP Publishing («Добавить FTP-публикацию»). Затем на странице Bindings and SSL Settings («Параметры привязки и SSL») убедитесь, что в секции SSL вы выбрали Allow SSL («Разрешить»). И, наконец, в окне Authentication and Authorization Information («Сведения о проверке подлинности и авторизации») в секции Authentication («Проверка подлинности») выберите вариант Basic («Обычная»), в раскрывающемся списке Allow access to («Разрешить доступ к») выберите вариант Specified Users («Указанные пользователи») и введите учетную запись пользователя FTP в соответствующем текстовом поле секции Authorization («Авторизация»).
Затем можно продолжить настройку FTP поверх SSL, используя раздел настроек FTP SSL Settings («Параметры SSL FTP») в диспетчере служб IIS, который можно найти в центральной панели как на уровне веб-сервера, так и на уровне веб-сайта. Для настройки защищенной передачи с помощью SSL только учетных данных FTP вам нужен именно этот раздел. Очень важно сделать одинаковые настройки и на уровне веб-сервера, и на уровне веб-сайта. Если вы этого не сделаете, то при попытке подключения к своему FTP-сайту получите сообщение об ошибке conflicting TLS setting («конфликт параметров TLS»).
Для изменения параметров SSL FTP для веб-сайта перейдите в диспетчере служб IIS к веб-сайту и в центральной панели дважды щелкните мышью на разделе FTP SSL Settings («Параметры SSL FTP»), чтобы открыть диалоговое окно настроек SSL FTP. В списке сертификатов SSL Certificate («Сертификат SSL») выберите тот сертификат, который планируете использовать для защиты сеансов FTP. Далее в разделе SSL Policy («Политика SSL») можно выбрать один из следующих вариантов:
- Allow SSL connections («Разрешить SSL-соединения»). Используйте этот вариант, если необходимо, чтобы ваш сервер FTP поддерживал как защищенные подключения с использованием SSL, так и незащищенные подключения.
- Require SSL connections («Требовать SSL-соединения»). Используйте этот вариант, если необходимо обязательное использование SSL-шифрования для всех коммуникаций по протоколу FTP.
- Custom («Настроить»). Используйте этот вариант, если вам необходимы различные политики SSL для управляющего канала FTP и для канала данных. После выбора данного варианта нажмите кнопку Advanced («Дополнительно»). В окне Advanced SSL Policy («Расширенная политика SSL») вы можете выбрать различные политики SSL. Для управляющего канала FTP предусмотрены следующие варианты:
- Allow («Разрешить»). Разрешает SSL для управляющего канала, но не делает его использование обязательным.
- Require («Требовать»). Принудительно использует SSL для управляющего канала.
- Require only for credentials («Требовать только для учетных данных»). Требует обязательного использования SSL только для передачи учетных данных пользователя FTP.
Для канала данных протокола FTP у вас будут такие варианты:
- Allow («Разрешить»). Разрешает SSL для канала данных, но не делает его использование обязательным.
- Require («Требовать»). Принудительно использует SSL для канала данных.
- Deny («Запретить»). Запрещает использование SSL для канала данных.
В вашем случае необходимо выбрать вариант Custom («Настроить»). Затем в диалоговой панели Advanced SSL Policy («Расширенная политика SSL») выберите Require only for credentials («Требовать только для учетных данных») для управляющего канала протокола FTP и Allow («Разрешить») для канала данных FTP. Помните, что после выполнения настроек веб-сайта требуется повторить такие же настройки и для веб-сервера.