Compartir a través de

Configuración predeterminada de certificados de cliente SSL de FTP <sslClientCertificates>

  • Artículo

Información general

El elemento <sslClientCertificates> especifica las opciones de certificado de cliente SSL para sitios FTP. En concreto, este elemento contiene los siguientes atributos, que se describen en detalle en la sección de configuración de este tema:

  • El atributo clientCertificatePolicy especifica si se permitirán, exigirán u omitirán los certificados de cliente.
  • El atributo validationFlags especifica el comportamiento de un sitio FTP para comprobar la revocación de certificados.
  • El atributo revocationFreshnessTime especifica la cantidad de tiempo que la lista de revocación es válida.
  • El atributo revocationUrlRetrievalTimeout especifica el tiempo de espera para recuperar información de revocación de certificados
  • El atributo useActiveDirectoryMapping especifica si se debe permitir la asignación de Active Directory para los certificados de cliente. Nota: Este atributo se usa en combinación con el elemento <clientCertAuthentication> para configurar la asignación de certificados mediante Active Directory.

Compatibilidad

Versión Notas
IIS 10.0 El elemento <sslClientCertificates> no se modificó en IIS 10.0.
IIS 8.5 El elemento <sslClientCertificates> no se modificó en IIS 8.5.
IIS 8.0 El elemento <sslClientCertificates> no se modificó en IIS 8.0.
IIS 7.5 El elemento <sslClientCertificates> del elemento <security> se incluye como una característica de IIS 7.5.
IIS 7.0 El elemento <sslClientCertificates> del elemento <security> se introdujo en FTP 7.0, que era una descarga independiente para IIS 7.0.
IIS 6,0 El elemento <ftpServer> y sus elementos secundarios reemplazan los valores FTP de IIS 6.0 que se encontraban en la ruta de acceso de metabase LM/MSFTPSVC.

Nota:

Los servicios FTP 7.0 y FTP 7.5 se enviaron fuera de banda para IIS 7.0, lo que requería descargar e instalar el servicio desde la siguiente dirección URL:

https://www.iis.net/expand/FTP

Con Windows 7 y Windows Server 2008 R2, el servicio FTP 7.5 se incluye como característica para IIS 7.5, por lo que la descarga del servicio FTP ya no es necesaria.

Configuración

Para admitir la publicación de FTP para el servidor web, debe instalar el servicio FTP. Para ello, siga estos pasos.

Windows Server 2012 o Windows Server 2012 R2

  1. En la barra de tareas, haga clic en Administrador del servidor.

  2. En Administrador del servidor, haga clic en el menú Administrar y, después, haga clic en Agregar roles y características.

  3. En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.

  4. En la página Roles de servidor, expanda Servidor web (IIS) y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP, además de Servicio FTP.
    Image of F T P Server expanded with F T P Extensibility and F T P Service both selected..

  5. Haga clic en Siguiente y, después, en la página Seleccionar características, vuelva a hacer clic en Siguiente.

  6. En la página Confirmar selecciones de instalación, haga clic en Instalar.

  7. En la página Resultados , haga clic en Cerrar.

Windows 8 o Windows 8.1

  1. En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, a continuación, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of Internet Information Services node expanded and F T P Extensibility selected.

  4. Haga clic en OK.

  5. Haga clic en Cerrar.

Windows Server 2008 R2

  1. En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.

  2. En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).

  3. En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.

  4. En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, expanda Servidor FTP.

  5. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Image of F T P Server in Add Role Services Wizard displaying F T P Service selected.

  6. Haga clic en Next.

  7. En la página Confirmar selecciones de instalación, haz clic en Instalar.

  8. En la página Resultados , haga clic en Cerrar.

Windows 7

  1. En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, luego, Servidor FTP.

  4. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Image of F T P Server node in Turn Windows features on or off window expanded with F T P Extensibility highlighted.

  5. Haga clic en OK.

Windows Server 2008 o Windows Vista

  1. Descargue el paquete de instalación desde la siguiente dirección URL:

  2. Siga las instrucciones del siguiente tutorial para instalar el servicio FTP:

Procedimientos

En este momento no hay ninguna interfaz de usuario que le permita configurar las opciones de autenticación de certificado de cliente para un sitio FTP. Vea las secciones Configuración y Código de ejemplo de este documento para obtener información adicional sobre cómo configurar las características personalizadas de valores de autenticación de certificados de cliente para un sitio FTP.

Configuración

Atributos

Atributo Descripción
clientCertificatePolicy Atributo enum opcional.

Especifica la directiva de certificados de cliente.
Valor Descripción
CertIgnore Especifica que los certificados de cliente no se negociarán para la sesión SSL.

El valor numérico es 0.
CertAllow Especifica que se permitirán certificados de cliente. Si el cliente decide enviar un certificado, el certificado debe ser válido y el servidor debe poder validarlo correctamente.

El valor numérico es 1.
CertRequire Especifica que se exigirán certificados de cliente. Los clientes FTP no podrán conectarse a menos que envíen un certificado de cliente válido al servidor.

El valor numérico es 2.
El valor predeterminado es CertIgnore.
validationFlags Atributo flags opcional.

Especifica las marcas que afectan a la validación del certificado de cliente.
Valor Descripción
NoRevocationCheck

Especifica que se omitirán las comprobaciones de revocación de certificados.

Advertencia: No se recomienda omitir la validación de revocación.

El valor numérico es 1.

CertChainRevocationCheckCacheOnly Especifica que la comprobación de revocación solo accede a las direcciones URL almacenadas en caché.

El valor numérico es 2.
CertChainCacheOnlyUrlRetrieval Especifica solo las direcciones URL almacenadas en caché en la creación de una cadena de certificados. Los objetos basados en direcciones URL no se buscan en Internet ni en la intranet.

El valor numérico es 4.
CertNoUsageCheck No comprueba si hay marcas de uso en el certificado de cliente. La comprobación de uso está habilitada de manera predeterminada y está pensada para asegurarse de que solo se permiten certificados de cliente que permiten la "autenticación de cliente".

El valor numérico es 8.
No existe ningún valor predeterminado.
revocationFreshnessTime Atributo timeSpan opcional.

Especifica la cantidad de tiempo que la lista de revocación es válida.

El valor predeterminado es 00:00:00.
revocationUrlRetrievalTimeout Atributo timeSpan opcional.

Especifica el tiempo de espera para recuperar información de revocación de certificados.

El valor predeterminado es 00:01:00.
useActiveDirectoryMapping Atributo Boolean opcional.

Es true si se debe permitir la asignación de Active Directory para los certificados de cliente; de lo contrario es false. La asignación de Active Directory permite a los usuarios del dominio iniciar sesión mediante un certificado de cliente configurado en Active Directory.

Nota: Esta característica solo permite que la capa SSL intente asignar un certificado de cliente a un token de usuario; el token no se usará automáticamente. El elemento <clientCertAuthentication> se usa a fin de habilitar el token asignado para usarlo en FTP en lugar de las credenciales especificadas mediante los comandos "USER" y "PASS".

El valor predeterminado es false.

Elementos secundarios

Ninguno.

Ejemplo de configuración

En el ejemplo siguiente se muestra la configuración predeterminada del servicio FTP que necesita certificados SSL y de cliente para el canal de datos y el canal de control.

<siteDefaults>
 <ftpServer serverAutoStart="true">
   <security>
    <authentication>
     <anonymousAuthentication enabled="false" />
     <basicAuthentication enabled="true" />
    </authentication>
    <ssl serverCertHash="57686f6120447564652c2049495320526f636b73"
     controlChannelPolicy="SslRequire"
     dataChannelPolicy="SslRequire" />
    <sslClientCertificates clientCertificatePolicy="CertRequire"
     useActiveDirectoryMapping="false" />
   </security>
 </ftpServer>
</siteDefaults>

Código de ejemplo

En los ejemplos siguientes se configura el servicio FTP predeterminado para que exija certificados de cliente y SSL para el canal de datos y el canal de control.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.clientCertificatePolicy:"CertRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.useActiveDirectoryMapping:"False" /commit:apphost

Nota:

Debe asegurarse de establecer el parámetrocommit en apphost cuando use AppCmd.exe para configurar estos valores. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
            sslElement["controlChannelPolicy"] = @"SslAllow";
            sslElement["dataChannelPolicy"] = @"SslAllow";
            sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";
         
         ConfigurationElement sslClientCertificatesElement = securityElement.GetChildElement("sslClientCertificates");
            sslClientCertificatesElement["clientCertificatePolicy"] = @"CertRequire";
            sslClientCertificatesElement["useActiveDirectoryMapping"] = false;

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
      Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
         sslElement("controlChannelPolicy") = "SslAllow"
         sslElement("dataChannelPolicy") = "SslAllow"
         sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"

      Dim sslClientCertificatesElement As ConfigurationElement = securityElement.GetChildElement("sslClientCertificates")
      sslClientCertificatesElement("clientCertificatePolicy") = "CertRequire"
      sslClientCertificatesElement("useActiveDirectoryMapping") = False
      
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";

var sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates");
   sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire";
   sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = false;

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"

   Set sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates")
      sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire"
      sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = False

adminManager.CommitChanges()