Compartir a través de

FTP por SSL <ssl>

  • Artículo

Información general

El elemento <ssl> especifica la configuración de FTP a través de SSL (Capa de sockets seguros) para el servicio FTP; FTP por SSL se introdujo por primera vez para IIS 7 en FTP 7.0.

A diferencia del uso de HTTP por SSL, que requiere un puerto y una conexión independientes para la comunicación segura (HTTPS), la comunicación FTP segura se produce en el mismo puerto que la comunicación no segura. FTP 7 admite dos formas diferentes de FTP por SSL:

  • FTPS explícito: de forma predeterminada, los clientes y sitios FTP usan el puerto 21 para el canal de control, y el servidor y el cliente negociarán los puertos secundarios para las conexiones del canal de datos. En una solicitud FTP típica, un cliente FTP se conectará a un sitio FTP a través del canal de control y, posteriormente, el cliente puede negociar SSL/TLS con el servidor para el canal de control o el canal de datos. Cuando usa FTP 7, usa SSL explícito si habilita FTPS y asigna el sitio FTP a cualquier puerto distinto del puerto 990.
  • FTPS implícito: FTPS implícito es una forma anterior de FTP por SSL que todavía es compatible con FTP 7. Con FTPS implícito, el cliente debe negociar un protocolo de enlace SSL antes de que el cliente pueda enviar comandos FTP. Además, aunque el FTPS explícito permite al cliente decidir arbitrariamente si se debe usar SSL, el FTPS implícito requiere que se cifre toda la sesión FTP. Al usar FTP 7, usa SSL implícito si habilita FTPS y asigna el sitio FTP al puerto 990.

Dependiendo de las opciones de seguridad que configure en los atributos controlChannelPolicy y dataChannelPolicy, un cliente FTP puede cambiar entre seguro y no seguro varias veces en una sola sesión FTPS explícita. Hay varias maneras de implementar esto en función de sus necesidades empresariales:

controlChannelPolicy dataChannelPolicy Notas
SslAllow SslAllow Esta configuración permite al cliente decidir si se debe cifrar cualquier parte de la sesión FTP.
SslRequireCredentialsOnly SslAllow Esta configuración protege las credenciales del cliente FTP de la interceptación electrónica y permite al cliente decidir si se deben cifrar las transferencias de datos.
SslRequireCredentialsOnly SslRequire Esta configuración requiere que las credenciales del cliente sean seguras y, posteriormente, permite al cliente decidir si se deben cifrar los comandos FTP. Sin embargo, todas las transferencias de datos deben cifrarse.
SslRequire SslRequire Esta configuración es la más segura: el cliente debe negociar SSL mediante el uso de los comandos relacionados con FTPS antes de que se permitan otros comandos FTP y todas las transferencias de datos deben cifrarse.

Compatibilidad

Versión Notas
IIS 10.0 El elemento <ssl> no se modificó en IIS 10.0.
IIS 8.5 El elemento <ssl> no se modificó en IIS 8.5.
IIS 8.0 El elemento <ssl> no se modificó en IIS 8.0.
IIS 7.5 El elemento <ssl> del elemento <security> se incluye como una característica de IIS 7.5.
IIS 7.0 El elemento <ssl> del elemento <security> se introdujo en FTP 7.0, que era una descarga independiente para IIS 7.0.
IIS 6,0 El servicio FTP en IIS 6.0 no admitía FTP por SSL.

Nota:

Los servicios FTP 7.0 y FTP 7.5 se enviaron fuera de banda para IIS 7.0, lo que requería descargar e instalar el servicio desde la siguiente dirección URL:

https://www.iis.net/expand/FTP

Con Windows 7 y Windows Server 2008 R2, el servicio FTP 7.5 se incluye como característica para IIS 7.5, por lo que la descarga del servicio FTP ya no es necesaria.

Configuración

Para admitir la publicación de FTP para el servidor web, debe instalar el servicio FTP. Para ello, siga estos pasos.

Windows Server 2012 o Windows Server 2012 R2

  1. En la barra de tareas, haga clic en Administrador del servidor.

  2. En Administrador del servidor, haga clic en Administrar y, después, haga clic en Agregar roles y características.

  3. En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.

  4. En la página Roles de servidor, expanda Servidor web (IIS) y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP, además de Servicio FTP.
    Screenshot of Web Server I I S and F T P Server pane expanded with F T P Extensibility highlighted..

  5. Haga clic en Siguiente y, después, en la página Seleccionar características, vuelva a hacer clic en Siguiente.

  6. En la página Confirmar selecciones de instalación, haga clic en Instalar.

  7. En la página Resultados , haga clic en Cerrar.

Windows 8 o Windows 8.1

  1. En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, posteriormente, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of Internet Information Services and F T P Server pane expanded with F T P Extensibility highlighted.

  4. Haga clic en OK.

  5. Haga clic en Cerrar.

Windows Server 2008 R2

  1. En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.

  2. En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).

  3. En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.

  4. En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, expanda Servidor FTP.

  5. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of F T P Server expanded with F T P Service selected.

  6. Haga clic en Next.

  7. En la página Confirmar selecciones de instalación, haz clic en Instalar.

  8. En la página Resultados , haga clic en Cerrar.

Windows 7

  1. En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, luego, Servidor FTP.

  4. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of Internet Information Services and F T P Server pane expanded with both F T P Extensibility and F T P Service selected.

  5. Haga clic en OK.

Windows Server 2008 o Windows Vista

  1. Descargue el paquete de instalación desde la siguiente dirección URL:

  2. Siga las instrucciones del siguiente tutorial para instalar el servicio FTP:

Procedimientos

Procedimiento para configurar opciones de SSL para un sitio FTP

  1. Abra el Administrador de Internet Information Services (IIS):

    • Si usa Windows Server 2012 o Windows Server 2012 R2:

      • En la barra de tareas, haga clic en Administrador del servidor, en Herramientas y, posteriormente, en Administrador de Internet Information Services (IIS).

    • Si usa Windows 8 o Windows 8.1:

      • Mantenga presionada la tecla Windows, presione la letra X y haga clic en Panel de control.
      • En Panel de control, haga clic en Herramientas administrativas y, posteriormente, haga doble clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Server 2008 o Windows Server 2008 R2:

      • En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, posteriormente, haga clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Vista o Windows 7:

      • En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
      • Haga doble clic en Herramientas administrativas y, posteriormente, haga doble clic en Administrador de Internet Information Services (IIS).

  2. En el panel Conexiones, expanda el nombre del servidor, expanda el nodo Sitios y, posteriormente, haga clic en el nombre del sitio.

  3. En el panel Inicio del sitio, haga doble clic en la característica Configuración de SSL de FTP.
    Screenshot of the site Home pane with F T P S S L Settings highlighted.

  4. En la lista Certificado SSL, seleccione el certificado que quiere usar para las conexiones al servidor FTP.
    Screenshot of F T P S S L Settings page displaying the field for S S L Certificate and S S L Policy option.

  5. En Directiva SSL, seleccione una de las siguientes opciones:

    • Permitir conexiones SSL: permite que servidor FTP admita conexiones tanto SSL como no SSL con un cliente.

    • Requerir conexiones SSL: requiere el cifrado SSL para la comunicación entre el servidor FTP y un cliente.

    • Personalizado: permite configurar una directiva de cifrado SSL diferente para el canal de control y el canal de datos. Si elige esta opción, haga clic en el botón Opciones avanzadas.... Cuando se abra el cuadro de diálogo Directiva de SSL avanzada, seleccione las siguientes opciones:

      • En Canal de control, seleccione una de las siguientes opciones para el cifrado SSL en el canal de control:

        • Permitir: especifica que SSL está permitido para el canal de control; un cliente FTP puede usar SSL para el canal de control, pero no es necesario.
        • Requerir: especifica que se requiere SSL para el canal de control; es posible que un cliente FTP no cambie a un modo de comunicación no seguro para el canal de control.
        • Requerir solo para credenciales: especifica que solo se deben enviar las credenciales de usuario a través de la sesión SSL; un cliente FTP debe usar SSL para su nombre de usuario y contraseña, pero no se requiere que el cliente use SSL para el canal de control después de haber iniciado sesión.

      • En Canal de datos, seleccione una de las siguientes opciones para el cifrado SSL a través del canal de datos:

        • Permitir: SSL se permite para el canal de datos; un cliente FTP puede usar SSL para el canal de datos, pero no es necesario.
        • Requerir: se requiere SSL para el canal de datos; es posible que un cliente FTP no cambie a un modo de comunicación no seguro para el canal de datos.
        • Denegar: se deniega SSL para el canal de datos; es posible que un cliente FTP no use SSL para el canal de datos.

      • Haga clic en Aceptar para cerrar el cuadro de diálogo Directiva SSL avanzada.

  6. En el panel Acciones, haga clic en Aplicar.

Configuración

El elemento <ssl> se configura en el nivel de sitio.

Atributos

Atributo Descripción
controlChannelPolicy Atributo enum opcional.

Especifica la directiva SSL para el canal de control FTP.

Nota: No hay ningún valor de enum que deniegue SSL para el canal de comandos; para denegar SSL, no enlace un certificado SSL al sitio FTP especificando un hash de certificado en el atributo serverCertHash.
Valor Descripción
SslAllow Especifica que se permite SSL para el canal de control.

El valor numérico es 0.
SslRequire Especifica que se requiere SSL para el canal de control.

El valor numérico es 1.
SslRequireCredentialsOnly Especifica que solo se deben enviar los comandos "USER" y "PASS" a través de la sesión SSL. Una vez que un cliente FTP haya iniciado sesión, el cliente puede cambiar a un modo no seguro.

El valor numérico es 2.
El valor predeterminado es SslRequire.
dataChannelPolicy Atributo enum opcional.

Especifica la directiva SSL para el canal de datos FTP.
Valor Descripción
SslAllow Especifica que se permite SSL para el canal de datos.

El valor numérico es 0.
SslRequire Especifica que SSL es necesario para el canal de datos.

El valor numérico es 1.
SslDeny Especifica que se deniega SSL para el canal de datos.

El valor numérico es 2.
El valor predeterminado es SslRequire.
serverCertHash Atributo de cadena opcional.

Especifica el hash de huella digital del certificado del lado servidor que se va a usar para las conexiones SSL.

No existe ningún valor predeterminado.
serverCertStoreName Atributo de cadena opcional.

Especifica el almacén de certificados para los certificados SSL de servidor.

El valor predeterminado es MY.
ssl128 Atributo Boolean opcional.

Especifica si se requiere SSL de 128 bits.

El valor predeterminado es false.

Elementos secundarios

Ninguno.

Ejemplo de configuración

En el ejemplo siguiente se muestran varios valores de configuración en el elemento <ftpServer> para un sitio FTP. En concreto, los valores <site> de este ejemplo muestran cómo:

  • Crear un sitio FTP y agregar el enlace para el protocolo FTP en el puerto 21.
  • Configurar las opciones SSL de FTP para permitir el acceso seguro tanto en el canal de control como en el de datos mediante un certificado.
  • Deshabilitar Autenticación anónima y habilitar Autenticación básica para FTP.
  • Denegar el acceso para el comando SYST de FTP.
  • Especificar el formato de lista de directorios UNIX.
  • Configurar las opciones de registro.
  • Especificar un mensaje de bienvenida personalizado y habilitar mensajes de error detallados locales.
  • Especificar que los usuarios empezará en un directorio principal basado en su nombre de inicio de sesión, pero solo ese directorio si existe.
<site name="ftp.example.com" id="5">
  <application path="/">
    <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
  </application>
  <bindings>
    <binding protocol="ftp" bindingInformation="*:21:" />
  </bindings>
  <ftpServer>
    <security>
      <ssl controlChannelPolicy="SslAllow"
         dataChannelPolicy="SslAllow"
         serverCertHash="57686f6120447564652c2049495320526f636b73" />
      <authentication>
        <basicAuthentication enabled="true" />
        <anonymousAuthentication enabled="false" />
      </authentication>
      <commandFiltering maxCommandLine="4096" allowUnlisted="true">
        <add command="SYST" allowed="false" />
      </commandFiltering>
    </security>
    <directoryBrowse showFlags="StyleUnix" />
    <logFile logExtFileFlags="Date, Time, ClientIP, UserName, ServerIP, Method, UriStem, FtpStatus, Win32Status, ServerPort, FtpSubStatus, Session, FullPath, Info" />
    <messages expandVariables="true"
       greetingMessage="Welcome %UserName%!"
       allowLocalDetailedErrors="true" />
    <userIsolation mode="StartInUsersDirectory" />
  </ftpServer>
</site>

Código de ejemplo

En los ejemplos siguientes se configura un sitio FTP para que requiera SSL para el canal de datos y el canal de control.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

Nota:

Debe asegurarse de establecer el parámetro de confirmación en apphost cuando use AppCmd.exe para configurar estas opciones. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();

         ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
         if (siteElement == null) throw new InvalidOperationException("Element not found!");

         ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");

         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
         sslElement["serverCertHash"] = @"57686f6120447564652c2049495320526f636b73";
         sslElement["controlChannelPolicy"] = @"SslRequire";
         sslElement["dataChannelPolicy"] = @"SslRequire";

         serverManager.CommitChanges();
      }
   }
   
   private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")
      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")

      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
      sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      sslElement("controlChannelPolicy") = "SslRequire"
      sslElement("dataChannelPolicy") = "SslRequire"

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);

if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item(siteElementPos);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");

var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire";

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))

If siteElementPos = -1 Then
Wscript.Echo "Element not found!"
WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")

Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire"

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function