在异类环境中保护文件传输

简介

Transport Layer Security (TLS) 是一种密码协议，可以在客户机和服务器之间提供安全的通信。当服务器和客户机进行通信时，TLS 确保第三方无法窃取或篡改任何消息。TLS 的前身是 Secure Sockets Layer (SSL)。这使系统上的任何用户都可以安全地交换文件，只要通信的对方也提供这个扩展即可。

您可能会觉得奇怪，既然 openSSH 已经提供了文件传输协议 (FTP) 的安全版本 (sftp)，为什么要用一种新方法保护 FTP？尽管只使用安全 FTP 而不使用安全 telnet 可能不是最合适的方法，但是在无法使用 OpenSSH 的环境中，这种方法实际上是一种明智的替代方案。例如，如果您最信任的系统在一个专用的隔离的网络上运行，那么使用 telnet 在这个网络区中进行远程访问（或从控制台工作）是非常合适的。但是，即使在这样的环境中，也很可能需要在这个安全区中传出数据或传入数据，这就可以用安全 FTP 来完成。

另一个场景是已经在使用 OpenSSH，但是仍然必须与不支持 OpenSSH（因此也不支持 scp 和 sftp）的外部系统交换数据。这种遗留系统常常提供 “FTP via SSL” （常常称为 ftps）。

安全 FTP 的需求

TLS 依赖于 Secure Socket Layer，因此需要在 AIX 系统上安装 OpenSSL（ftps 依赖于 libssl.a 和 libcrypto.a 库）。

FTP 客户机和服务器之间的安全通信使用证书，其中包含一个公共-私有密钥对。因此，设置 FTP over SSL 的第二个需求是，在内部创建证书或者从商业证书机构导入证书。

在 AIX 和 Windows 之间设置 FTP

在 AIX 和 Windows 之间设置 FTP 需要执行四个步骤：

创建证书

在 Windows 服务器上设置 FTP 服务

在 AIX 客户机上配置 FTP