在CentOS系统中配置SFTP以启用SSL,可以按照以下步骤进行:
首先,确保你的CentOS系统上已经安装了OpenSSH服务器。如果没有安装,可以使用以下命令进行安装:
sudo yum install openssh-server
你需要一个SSL证书和私钥来启用SSL。你可以使用自签名证书或者从CA(证书颁发机构)获取证书。
如果你选择使用自签名证书,可以使用以下命令生成:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssh/ssh_host_rsa_key -out /etc/ssh/ssh_host_rsa_key.pub
这将生成一个2048位的RSA密钥对,并将其存储在/etc/ssh/目录下。
如果你有CA证书,可以使用以下命令生成:
sudo openssl req -newkey rsa:2048 -nodes -keyout /etc/ssh/ssh_host_rsa_key -x509 -days 365 -out /etc/ssh/ssh_host_rsa_key.pub -subj "/C=US/ST=YourState/L=YourCity/O=YourOrganization/CN=yourdomain.com"
编辑SSH配置文件/etc/ssh/sshd_config,启用SSL并指定证书和密钥文件:
sudo vi /etc/ssh/sshd_config
找到或添加以下行:
# 启用SSL
Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
确保以下行没有被注释掉:
# 启用SFTP子系统
Subsystem sftp /usr/libexec/openssh/sftp-server
保存并关闭配置文件后,重启SSH服务以应用更改:
sudo systemctl restart sshd
你可以使用ssh命令来验证SSL连接是否正常工作:
ssh -v user@your_server_ip
在输出中,你应该能够看到SSL握手和证书验证的信息。
确保你的防火墙允许SSH连接(默认端口22):
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload
如果你的系统启用了SELinux,可能需要配置SELinux策略以允许SFTP使用SSL:
sudo setsebool -P ssh_sysadm_login on
sudo setsebool -P ssh_keysign on
完成以上步骤后,你的CentOS系统应该已经成功配置了SFTP并启用了SSL。