Compartir a través de

Configuración predeterminada de FTP por SSL <ssl>

  • Artículo

Información general

El elemento <ssl> especifica la configuración de FTP a través de SSL (Capa de sockets seguros) para el servicio FTP; FTP por SSL se introdujo por primera vez para IIS 7 en FTP 7.0.

A diferencia del uso de HTTP por SSL, que requiere un puerto y una conexión independientes para la comunicación segura (HTTPS), la comunicación FTP segura se produce en el mismo puerto que la comunicación no segura. FTP 7 admite dos formas diferentes de FTP por SSL:

  • FTPS explícito: de forma predeterminada, los clientes y sitios FTP usan el puerto 21 para el canal de control, y el servidor y el cliente negociarán los puertos secundarios para las conexiones del canal de datos. En una solicitud FTP típica, un cliente FTP se conectará a un sitio FTP a través del canal de control y, posteriormente, el cliente puede negociar SSL/TLS con el servidor para el canal de control o el canal de datos. Cuando usa FTP 7, usa SSL explícito si habilita FTPS y asigna el sitio FTP a cualquier puerto distinto del puerto 990.
  • FTPS implícito: FTPS implícito es una forma anterior de FTP por SSL que todavía es compatible con FTP 7. Con FTPS implícito, el cliente debe negociar un protocolo de enlace SSL antes de que el cliente pueda enviar comandos FTP. Además, aunque el FTPS explícito permite al cliente decidir arbitrariamente si se debe usar SSL, el FTPS implícito requiere que se cifre toda la sesión FTP. Al usar FTP 7, usa SSL implícito si habilita FTPS y asigna el sitio FTP al puerto 990.

Dependiendo de las opciones de seguridad que configure en los atributos controlChannelPolicy y dataChannelPolicy, un cliente FTP puede cambiar entre seguro y no seguro varias veces en una sola sesión FTPS explícita. Hay varias maneras de implementar esto en función de sus necesidades empresariales:

controlChannelPolicy dataChannelPolicy Notas
SslAllow SslAllow Esta configuración permite al cliente decidir si se debe cifrar cualquier parte de la sesión FTP.
SslRequireCredentialsOnly SslAllow Esta configuración protege las credenciales del cliente FTP de la interceptación electrónica y permite al cliente decidir si se deben cifrar las transferencias de datos.
SslRequireCredentialsOnly SslRequire Esta configuración requiere que las credenciales del cliente sean seguras y, posteriormente, permite al cliente decidir si se deben cifrar los comandos FTP. Sin embargo, todas las transferencias de datos deben cifrarse.
SslRequire SslRequire Esta configuración es la más segura: el cliente debe negociar SSL mediante el uso de los comandos relacionados con FTPS antes de que se permitan otros comandos FTP y todas las transferencias de datos deben cifrarse.

Compatibilidad

Versión Notas
IIS 10.0 El elemento <ssl> no se modificó en IIS 10.0.
IIS 8.5 El elemento <ssl> no se modificó en IIS 8.5.
IIS 8.0 El elemento <ssl> no se modificó en IIS 8.0.
IIS 7.5 El elemento <ssl> del elemento <security> se incluye como una característica de IIS 7.5.
IIS 7.0 El elemento <ssl> del elemento <security> se introdujo en FTP 7.0, que era una descarga independiente para IIS 7.0.
IIS 6,0 El servicio FTP en IIS 6.0 no admitía FTP por SSL.

Nota:

Los servicios FTP 7.0 y FTP 7.5 se enviaron fuera de banda para IIS 7.0, lo que requería descargar e instalar el servicio desde la siguiente dirección URL:

https://www.iis.net/expand/FTP

Con Windows 7 y Windows Server 2008 R2, el servicio FTP 7.5 se incluye como característica para IIS 7.5, por lo que la descarga del servicio FTP ya no es necesaria.

Configuración

Para admitir la publicación de FTP para el servidor web, debe instalar el servicio FTP. Para ello, siga estos pasos.

Windows Server 2012 o Windows Server 2012 R2

  1. En la barra de tareas, haga clic en Administrador del servidor.

  2. En Administrador del servidor, haga clic en el menú Administrar y, después, haga clic en Agregar roles y características.

  3. En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.

  4. En la página Roles de servidor, expanda Servidor web (IIS) y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP, además de Servicio FTP.
    Screenshot that shows F T P Extensibility selected for Windows Server 2012..

  5. Haga clic en Siguiente y, después, en la página Seleccionar características, vuelva a hacer clic en Siguiente.

  6. En la página Confirmar selecciones de instalación, haga clic en Instalar.

  7. En la página Resultados , haga clic en Cerrar.

Windows 8 o Windows 8.1

  1. En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, a continuación, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot that shows F T P Extensibility selected for Windows 8.

  4. Haga clic en OK.

  5. Haga clic en Cerrar.

Windows Server 2008 R2

  1. En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.

  2. En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).

  3. En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.

  4. En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, expanda Servidor FTP.

  5. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot that shows F T P Service and Extensibility selected for Windows Server 2008.

  6. Haga clic en Next.

  7. En la página Confirmar selecciones de instalación, haz clic en Instalar.

  8. En la página Resultados , haga clic en Cerrar.

Windows 7

  1. En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, luego, Servidor FTP.

  4. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot that shows F T P Extensibility selected for Windows 7.

  5. Haga clic en OK.

Windows Server 2008 o Windows Vista

  1. Descargue el paquete de instalación desde la siguiente dirección URL:

  2. Siga las instrucciones del siguiente tutorial para instalar el servicio FTP:

Procedimientos

Configuración de las opciones SSL predeterminadas para un servidor FTP

  1. Abra el Administrador de Internet Information Services (IIS):

    • Si usa Windows Server 2012 o Windows Server 2012 R2:

      • En la barra de tareas, haga clic en Administrador del servidor, en Herramientas y, a continuación, en Administrador de Internet Information Services (IIS).

    • Si usa Windows 8 o Windows 8.1:

      • Mantenga presionada la tecla Windows, presione la letra X y haga clic en Panel de control.
      • En Panel de control, haga clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Server 2008 o Windows Server 2008 R2:

      • En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Vista o Windows 7:

      • En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
      • Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

  2. En el panel Conexiones, haga clic en el nombre del servidor.

  3. En el panel Inicio del servidor, haga doble clic en la característica Configuración de SSL de FTP.
    Screenshot that shows F T P S S L Settings selected.

  4. En la lista Certificado SSL, seleccione el certificado que quiere usar para las conexiones al servidor FTP.
    Screenshot that shows the F T P S S L Settings pane. Allow S S L connections is selected.

  5. En Directiva SSL, seleccione una de las siguientes opciones:

    • Permitir conexiones SSL: permite que servidor FTP admita conexiones tanto SSL como no SSL con un cliente.

    • Requerir conexiones SSL: requiere el cifrado SSL para la comunicación entre el servidor FTP y un cliente.

    • Personalizado: permite configurar una directiva de cifrado SSL diferente para el canal de control y el canal de datos. Si elige esta opción, haga clic en el botón Opciones avanzadas.... Cuando se abra el cuadro de diálogo Directiva de SSL avanzada, seleccione las siguientes opciones:

      • En Canal de control, seleccione una de las siguientes opciones para el cifrado SSL en el canal de control:

        • Permitir: especifica que SSL está permitido para el canal de control; un cliente FTP puede usar SSL para el canal de control, pero no es necesario.
        • Requerir: especifica que se requiere SSL para el canal de control; es posible que un cliente FTP no cambie a un modo de comunicación no seguro para el canal de control.
        • Requerir solo para credenciales: especifica que solo se deben enviar las credenciales de usuario a través de la sesión SSL; un cliente FTP debe usar SSL para su nombre de usuario y contraseña, pero no se requiere que el cliente use SSL para el canal de control después de haber iniciado sesión.

      • En Canal de datos, seleccione una de las siguientes opciones para el cifrado SSL a través del canal de datos:

        • Permitir: SSL se permite para el canal de datos; un cliente FTP puede usar SSL para el canal de datos, pero no es necesario.
        • Requerir: se requiere SSL para el canal de datos; es posible que un cliente FTP no cambie a un modo de comunicación no seguro para el canal de datos.
        • Denegar: se deniega SSL para el canal de datos; es posible que un cliente FTP no use SSL para el canal de datos.

      • Haga clic en Aceptar para cerrar el cuadro de diálogo Directiva SSL avanzada.

  6. En el panel Acciones, haga clic en Aplicar.

Configuración

Atributos

Atributo Descripción
controlChannelPolicy Atributo enum opcional.

Especifica la directiva SSL para el canal de control FTP.

Nota: No hay ningún valor de enum que deniegue SSL para el canal de comandos; para denegar SSL, no enlace un certificado SSL al sitio FTP especificando un hash de certificado en el atributo serverCertHash.
Valor Descripción
SslAllow Especifica que se permite SSL para el canal de control.

El valor numérico es 0.
SslRequire Especifica que se requiere SSL para el canal de control.

El valor numérico es 1.
SslRequireCredentialsOnly Especifica que solo se deben enviar los comandos "USER" y "PASS" a través de la sesión SSL. Una vez que un cliente FTP haya iniciado sesión, el cliente puede cambiar a un modo no seguro.

El valor numérico es 2.
El valor predeterminado es SslRequire.
dataChannelPolicy Atributo enum opcional.

Especifica la directiva SSL para el canal de datos FTP.
Valor Descripción
SslAllow Especifica que se permite SSL para el canal de datos.

El valor numérico es 0.
SslRequire Especifica que SSL es necesario para el canal de datos.

El valor numérico es 1.
SslDeny Especifica que se deniega SSL para el canal de datos.

El valor numérico es 2.
El valor predeterminado es SslRequire.
serverCertHash Atributo de cadena opcional.

Especifica el hash de huella digital del certificado del lado servidor que se va a usar para las conexiones SSL.

No existe ningún valor predeterminado.
serverCertStoreName Atributo de cadena opcional.

Especifica el almacén de certificados para los certificados SSL de servidor.

El valor predeterminado es MY.
ssl128 Atributo Boolean opcional.

Especifica si se requiere SSL de 128 bits.

El valor predeterminado es false.

Elementos secundarios

Ninguno.

Ejemplo de configuración

En el ejemplo de configuración siguiente se muestra cómo habilitar el acceso SSL en el canal de control y el canal de datos del servicio FTP de forma predeterminada.

Ejemplo de configuración de SSL (temp desc).

<siteDefaults>
   <ftpServer>
      <security>
         <ssl controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" serverCertHash="57686f6120447564652c2049495320526f636b73"/>
      </security>
   </ftpServer>
</siteDefaults>

Código de ejemplo

En los ejemplos siguientes se muestra cómo habilitar el acceso SSL en el canal de control y el canal de datos del servicio FTP de forma predeterminada.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost

Nota:

Debe asegurarse de establecer el parámetrocommit en apphost cuando use AppCmd.exe para configurar estos valores. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
            sslElement["controlChannelPolicy"] = @"SslAllow";
            sslElement["dataChannelPolicy"] = @"SslAllow";
            sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
      Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
         sslElement("controlChannelPolicy") = "SslAllow"
         sslElement("dataChannelPolicy") = "SslAllow"
         sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"

adminManager.CommitChanges()