Instalace zabezpečeného FTP serveru na Windows pomocí IIS
Microsoft File Transfer Protocol (FTP)Služba obsahuje funkce, které umožňují webovým autorům publikovat obsah lépe než dříve tím, že umožňuje více uživatelům přístup k jejich adresářům, aniž by získali přístup k adresářům jiných uživatelů. To nabízí správcům webu více možností zabezpečení a nasazení.
Jedna z těchto funkcí je známá jakoFTP přes Secure Sockets Layer (SSL) nebo FTPS. FTPS umožňuje šifrování relací mezi FTP klientem a serverem. Jedná se o rozšíření běžně používaného protokolu FTP (File Transfer Protocol), které přidává podporu pro Transport Layer Security (TLS), dříve známé jako Secure Sockets Layer (SSL). FTPS by se nemělo zaměňovat s FTP přes SSH, což je praxe tunelování FTP prostřednictvím připojení SSH; nebo SSH File Transfer Protocol (SFTP), subsystém zabezpečeného přenosu souborů pro protokol Secure Shell (SSH), který není podporován službou IIS.
V tomto článku vás provedeme procesem instalace FTPS (Secure FTP) serveru na Windows pomocí IIS. Kroky potřebné k dokončení postupů v tomto článku zahrnují:
- Instalace funkcí IIS a FTP serveru.
- Vytvoření SSL certifikátu.
- Práce se servery za externím firewallem/NATem.
- Vytvoření nového uživatele FTP v systému Windows.
- Vytvoření nového serveru FTP ve službě IIS.
- Navázání certifikátu na TLS/SSL ve službě IIS.
- Konfigurace FTP autentizace a autorizace.
- Testování vašeho nového FTP serveru.
Instalace funkcí serveru IIS a FTP
Služba IIS je standardně nainstalována na většině serverů Windows, ale funkce serveru FTP je ve výchozím nastavení obvykle zakázána. Prvním krokem je proto aktivace funkcí FTP serveru. Chcete-li povolit funkci serveru FTP v systému Windows Server 2022, Windows Server 2019, Windows Server 2016 nebo Windows Server 2012, postupujte takto:
- Ve Windows přejděte Správce serveru na Dashboard a spusťte Spravovat >> Přidat role a funkce.
- V průvodci Přidat role a funkce: Pokračujte krokem Typ instalace a potvrďte instalaci založenou na rolích nebo funkcích.
- Pokračujte krokem Role serveru a zkontrolujte roli webového serveru (IIS). Všimněte si, že je již zaškrtnuto, pokud jste měli službu IIS dříve nainstalovanou jako webový server. Pokud se zobrazí výzva k instalaci nástroje Konzola pro správu služby IIS, potvrďte ji.
- Přejděte na Role webového serveru (IIS) >> Krok Služby rolí a zkontrolujte službu role serveru FTP. Zrušte zaškrtnutí služby role webového serveru, pokud ji nepotřebujete.
- Potvrďte instalaci kliknutím na „Další“, pokračujte v instalaci a počkejte na dokončení instalace.
Vytvoření certifikátu TLS/SSL pro server FTPS
Váš FTP server potřebuje certifikát TLS/SSL k vytvoření zabezpečeného spojení mezi klientem a serverem. Certifikát obsahuje informace o identitě serveru spolu s technikou šifrování použitou k vytvoření zabezpečeného kanálu. To usnadňuje koncovým uživatelům ověření identity vzdáleného počítače. V závislosti na případu použití nebo scénáři může být certifikát TLS/SSL buď podepsaný sám sebou, podepsaný doménou, nebo podepsaný třetí stranou.
- Na interních webech se používají certifikáty s vlastním podpisem, ale v takových případech uživatelé vašeho FTPS serveru vždy obdrží bezpečnostní varování. Je to proto, že neexistuje způsob, jak prokázat, že je identita vaše, pokud ji nevytvořila certifikační autorita (CA).
- Doménové certifikáty se používají uvnitř domén a jsou podepsány certifikační autoritou organizace. Interní uživatelé neobdrží žádné bezpečnostní upozornění, ale uživatelé mimo doménu ano.
- Certifikáty podepsané třetími stranami se používají na produkčních serverech, protože jsou podporovány certifikační autoritou (CA). Certifikáty podepsané CA poskytují klientům FTP ujištění, že váš server je tím, za koho se vydává.
Pomocí služby IIS můžete vytvořit certifikát s vlastním podpisem a certifikát domény. Chcete-li vytvořit a vlastnoručně podepsaný certifikát, postupujte podle následujících kroků:
- V IIS Manager otevřete IIS >> Server Certificates.
- V nabídce Akce na pravé straně Správce IIS vyberte možnost „Vytvořit certifikát s vlastním podpisem“.
- Zadejte název certifikátu (např. „Můj certifikát FTP“) a kliknutím na „OK“ jej odešlete.
- Chcete-li vytvořit a certifikát domény, postupujte podle následujících kroků:
- Přejděte na Certifikáty serveru a vyberte „Vytvořit certifikát domény“.
Při registraci a vytváření žádosti o podpis certifikátu (CSR) budete muset poskytnout informace o rozlišujícím jménu (DN).
- V poli „Běžný název“ použijte plně kvalifikovaný název domény (FQDN) počítače nebo webového serveru.
- V Organizaci použijte oficiální název společnosti.
- V organizační jednotce (OU) použijte oddělení nebo oblast (volitelně pro domény Active Directory).
- Zadejte online CA ve vaší doméně. Pokud je online certifikační autorita online, měla by se vám zobrazit možnost „vybrat“. Pokud možnost „Vybrat“ není k dispozici, můžete určit DA pomocí vhodného pojmenování, například CertificateAuhtorityNameNameServerName.
Práce se servery za externím firewallem/NAT
Pokud je váš server za externím firewallem/NAT, musíte FTP serveru sdělit jeho externí IP adresu, aby byla povolena připojení v pasivním režimu. Dokončete tento proces podle následujících kroků:
- Ve Správci služby IIS otevřete FTP >> FTP Firewall Support.
- Zadejte externí IP adresu vašeho serveru.
U serverů Microsoft Azure Windows najdete externí IP adresu v části Veřejná IP adresa na stránce virtuálního počítače.
Když pracujete za externím firewallem, musíte kromě otevření FTP portu 21 a případně i implicitního TLS/SSL FTP portu 990 otevřít porty pro datová připojení. Pravděpodobně nebudete chtít otevřít celý výchozí rozsah portů 1024-65535. V takovém případě musíte FTP serveru sdělit, aby používal pouze rozsah, který je otevřen na bráně firewall. Použijte k tomu pole Data Channel Port Range. Kdykoli změníte tento rozsah, budete muset restartovat službu FTP.
- Kliknutím na Použít akci odešlete svá nastavení.
Některé externí brány firewall jsou schopny monitorovat připojení k řízení FTP a podle potřeby automaticky otevírat a zavírat porty datového připojení. Nemusíte tedy mít celou řadu portů neustále otevřený, i když se nepoužívá. To nebude fungovat se zabezpečeným FTPS, protože řídicí připojení je šifrované a brána firewall jej nemůže monitorovat.
V počítačích se systémem Windows je interní brána firewall systému Windows automaticky nakonfigurována s pravidly pro porty 21, 990 a 1024-65535, když je nainstalován server FTP IIS. V některých verzích systému Windows nejsou pravidla zpočátku povolena. Chcete-li povolit nebo změnit pravidla, postupujte takto:
- Přejděte na Ovládací panely >> Systém a zabezpečení >> Brána firewall v programu Windows Defender >> Pokročilá nastavení >> Pravidla pro příchozí hovory a vyhledejte tři pravidla pro „FTP server“.
- Pokud pravidla nejsou povolena, klikněte na Akce >> Povolit pravidlo.
Vytvoření nového uživatele FTP ve Windows
V této části vám ukážeme, jak vytvořit nového uživatele pro připojení k serveru FTPS s příslušnými oprávněními. Zde jsou kroky, které je třeba podniknout:
- Otevřete Místní uživatelé a skupiny na serveru Windows. Přejděte do Správce serveru >> Nástroje >> Správa počítače. Rozbalte systémové nástroje >> a otevřete „Místní uživatelé a skupiny“.
- Případně můžete pomocí zkratky Win+R otevřít „Spustit“ a zadat „lusrmgr.msc“.
- Přejděte na Akce a klikněte na „Nový uživatel“.
- V okně „Nový uživatel“ pokračujte a zadejte přihlašovací údaje uživatele.
- Klikněte na „Vytvořit“.
Nyní musíte novému uživateli udělit oprávnění ke kořenové složce FTP
- Výchozí složka ve službě IIS pro ukládání obsahu se nazývá „inetpub“. Přejděte do C:inetpub a najděte složku „ftproot“.
- Klikněte na něj pravým tlačítkem a otevřete „Vlastnosti“.
- Přejděte na kartu Zabezpečení >> a poté klikněte na „Upravit“ a najděte uživatele, kterého jste dříve vytvořili, a nastavte oprávnění. Můžete například omezit nebo povolit uživateli přístup k prostředkům kořenové složky FTP.
Nyní, když jsme vytvořili uživatele se správnými oprávněními, musíme vytvořit server FTP, který může otevřít pouze uživatel se správnými oprávněními.
Vytvoření nového serveru FTP ve službě IIS
Server FTP je server, ke kterému lze přistupovat z místa mimo síť LAN – z jakéhokoli místa na internetu. V podokně Připojení klikněte ve stromu na uzel Weby.
- Otevřete Správce IIS >> přejděte na svůj domovský server >> v podokně Připojení klikněte na uzel „Sites“ ve stromu.
- Přidat server FTP. Klikněte pravým tlačítkem na uzel Weby ve stromu a klikněte na Přidat server FTP nebo klikněte na Přidat server FTP v podokně Akce.
- Když se zobrazí průvodce Přidat server FTP, zadejte do pole Název serveru FTP informace o serveru FTP (například „Můj nový server FTP“) a fyzickou cestu k adresáři s obsahem (například %SystemDrive%inetpubftproot). Ať už jste zde vybrali jakoukoli cestu, ujistěte se, že má správná oprávnění k povolení nebo omezení přístupu.
- Klepněte na tlačítko Další
Navázání certifikátu na TLS/SSL ve službě IIS
Na další stránce průvodce se pokusíme svázat certifikát s TLS/SSL ve službě IIS. Certifikáty TLS/SSL můžete svázat při vytváření nebo po vytvoření serveru FTP. Dokončete proces podle následujících kroků:
- Vyberte IP adresu svého FTP serveru z rozevíracího seznamu IP Address, nebo zvolte, zda chcete přijmout výchozí výběr „All Unassigned“.
- Do pole Port zadejte port TCP/IP pro server FTP. Pro tento průvodce zvolte, že chcete přijmout výchozí port 21. FTPS používá port 21 pro svá explicitní řídicí připojení FTPS a port 990 pro implicitní řídicí připojení FTPS.
- Volitelně můžete zaškrtnout „Spustit server FTP automaticky“. Tato možnost je užitečná při výpadku serveru. Služba IIS spustí server FTPS automaticky poté, co se server vrátí do režimu online
- Pro tento návod nepoužíváme název hostitele, takže se ujistěte, že pole Virtuální hostitel je prázdné.
- Ujistěte se, že rozevírací seznam Certifikáty je nastaven na váš certifikát TLS/SSL. Můžete to provést výběrem certifikátu podepsaného svým držitelem, certifikátu domény nebo procházením jakéhokoli certifikátu vytvořeného jinými prostředky.
- Ujistěte se, že Povolit SSL je vybrána možnost.
- Klepněte na tlačítko Další.
- Klepněte znovu na tlačítko Další.
Nakonfigurujte FTP ověřování a autorizaci
Na další stránce průvodce budete moci definovat, kdo a jak se uživatelé připojují k vašemu FTPS serveru.
Můžete vybrat Anonymní (s povoleným šifrováním) nebo Základní (bez šifrování), což závisí na typu certifikátu SSL.
- Pro tento průvodce vyberte v nastavení ověřování možnost Základní.
Pro nastavení autorizace:
- V rozevíracím seznamu Povolit přístup k vyberte možnost „Konkrétní uživatelé“.
- Jako uživatelské jméno zadejte „administrator“.
- Vyberte možnost Číst a zapisovat pro možnost Oprávnění. Po dokončení těchto položek klepněte na tlačítko Dokončit.
Testování vašeho nového FTP serveru
Po dokončení výše uvedených kroků je posledním krokem ověření, zda váš server FTPS funguje správně. S testováním můžete začít od místního hostitele, po kterém budou následovat klienti třetích stran.
- Chcete-li testovat z localhost, jednoduše přejděte do libovolného webového prohlížeče na vašem serveru a zadejte „FTP://localhost“.
Pro testování založené na třetí straně, Server pro řízený přenos souborů Solarwind Serv-U je skvělý nástroj. Serv-U Managed File Transfer Server je spolehlivý FTP serverový software pro bezpečný přenos souborů. Poskytuje lepší zabezpečení a kontrolu nad přenosy souborů ve vaší organizaci i mimo ni.