FileZilla支持SSL加密传输的实现
一 概念与协议选择
- FTPS(FTP over SSL/TLS):在FTP之上通过TLS/SSL对控制与数据通道加密,支持两种模式:
- 显式(Explicit):默认用21端口,连接后再协商升级为TLS,兼容性更好。
- 隐式(Implicit):默认用990端口,建立连接即加密,常见于严格合规环境。
- SFTP(SSH File Transfer Protocol):基于SSH的安全文件传输,默认22端口,不使用SSL/TLS证书,而是SSH密钥/口令认证。若你的目标是“SSL加密”,通常指配置FTPS;若追求安全传输且环境允许,SFTP也是主流选择。
二 客户端配置步骤
- 打开站点管理器(文件 → 站点管理器),新建站点,填写主机/IP与端口(FTPS显式常用21,隐式常用990;SFTP为22)。
- 选择协议与加密:
- FTPS:协议选FTP - 文件传输协议;加密选要求显式FTP over TLS(推荐)或要求隐式FTP over TLS(按服务器要求)。
- SFTP:协议选SFTP - SSH文件传输协议;登录类型可选“正常/密钥文件”。
- 首次连接会出现证书验证窗口:
- 由可信CA签发(如Let’s Encrypt)可直接信任。
- 自签名证书可勾选“总是信任未来连线的凭证”,避免重复提示。
- 保存并连接,确认状态栏显示TLS/SSL或SFTP已启用。
三 服务器端配置步骤 FileZilla Server
- 安装并打开FileZilla Server Interface,在“编辑 → 设置”中进入安全 → SSL/TLS:
- 生成或导入证书:可用OpenSSL生成自签名证书(示例:openssl req -x509 -nodes -keyout server.key -out server.crt -days 365 -newkey rsa:2048),生产环境建议使用CA签发证书;将证书与私钥放入安全目录并设置权限(如私钥600、证书644)。
- 勾选启用SSL/TLS加密,选择显式/隐式模式;建议将最低TLS版本设为TLSv1.2及以上,并按需配置加密套件。
- 配置被动模式端口(FTPS必需):在“设置 → 常规/被动模式设置”中指定自定义端口范围(如50000–50020),并在防火墙放行对应端口及990/21(或自定义端口)。
- 应用设置并重启服务,使证书与端口生效。
四 防火墙与被动模式要点
- 放行端口:
- FTPS显式:放行21与被动端口范围(如50000–50020)。
- FTPS隐式:放行990与被动端口范围。
- SFTP:放行22。
- 在FileZilla Server的被动模式设置中填写与防火墙一致的公网IP(如有NAT/云环境),避免数据通道连接失败。
五 常见问题与排查
- 协议/端口不匹配:客户端与服务端的显式/隐式模式需一致;端口应对应(显式21、隐式990)。
- 证书错误:检查证书是否过期、域名/IP是否与Common Name匹配;自签名证书首次需信任。
- 连接被拒或数据通道不通:核对防火墙是否放行990/21与被动端口范围;云主机需配置正确的被动模式公网IP。
- SFTP不需要SSL证书:SFTP走SSH,使用密钥/口令认证,与FTPS的证书体系不同。
