一、生成自签名openssl证书

在之前的文章搭建VSFTP中，通过配置本地用户的用户名和密码，从而增强了FTP服务的安全性，并实现了FTP的上传。但是，这种配置存在的问题是在FTP传输文件的时候不能加密传输，本教程采用open自建证书的方式，实现FTP的加密传输。

首先，我们需要下载openssl，执行命令：

1 2	yum install -y openssl // centos中用yum管理 apt-get install openssl // ubuntu中用apt管理（新版Ubuntu自带openssl）

即可安装openssl，之后使用openssl生成证书命令如下：

1	openssl req -new -x509 -nodes -out vsftpd.pem -keyout vsftpd.pem -days 356

在上述命令中：

req表示生成一个证书
-new是第一次执行该命令需要携带的参数
-out指定了证书的文件名称
-keyout指定证书密钥的文件(在本实例中，这两个文件都保存在相同的文件中)
-days表示证书的有效期

在执行上述命令后，进入交互式页面，需要输入证书的地点、组织等信息:

上述命令执行完毕后，会在当前目录下生成一个vsftpd.pem文件

生成证书后，我们通常会把证书移动到/etc/vsftpd目录下，为证书文件单独创建一个隐藏目录，然后把证书放入其中，为了保证安全性，我们通常会把证书文件权限设置成400。相关命令如下所示：

1
2
3

mkdir -p /etc/vsftpd/.ssl
mv vsftpd.pem /etc/vsftpd/.ssl/
chmod 400 /etc/vsftpd/.ssl/

二、修改vsftp支持证书

在创建证书后，我们需要修改vsftpd的配置文件，使其支持证书，并配置加密功能，打开/etc/vsftpd/vsftpd.conf文件，在任意位置处，写入内容如下：

ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=TRUE
ssl_sslv2=FALSE
ssl_sslv3=FALSE
require_ssl_reuse=NO
ssl_ciphers=HIGH
rsa_cert_file=/etc/vsftpd/.ssl/vsftpd.pem
rsa_private_key_file=/etc/vsftpd/.ssl/vsftpd.pem

上述配置中:

ssl_enable表示开启ssl证书功能
force_local_data_ssl和force_local_login_ssl表示在登录和数据传输时采用证书加密
ssl_tlsv1,ssl_sslv2,ssl_sslv3表示ssl证书的版本
require_ssl_reuse表示不重用SSL会话
第八行ssl_cipthers表示用于加密ssl连接
rsa_cert_file和rsa_private_key_file表示ssl的证书和密钥文件存放位置

在完成上述所有操作后，我们的vsFTPd服务就已经配置完成了，接下来我们就可以重启FTP服务，然后进行验证

三、效果验证

为了验证我们的FTP加密证书是否配置有效，我们下载了FileZilla软件，用以链接我们配置的FTP服务器，在正确输入IP地址、用户名、密码等信息后，效果如下
效果验证

可以看出，FTP连接时下载到了FTP服务器的证书，并且证书中的各项参数与我们之前配置的各项参数基本一致。
在接受并信任该证书后，就成功登录了FTP服务器。