Partager via


FTP sur SSL <ssl>

Vue d’ensemble

L’élément <ssl> spécifie les paramètres FTP sur SSL (Secure Sockets Layer) pour le service FTP. FTP sur SSL a été introduit pour IIS 7 dans FTP 7.0.

Contrairement à l’utilisation de HTTP via SSL, qui nécessite un port et une connexion distincts pour une communication sécurisée (HTTPS), la communication FTP sécurisée se produit sur le même port que la communication non sécurisée. FTP 7 prend en charge deux formes différentes de FTP sur SSL :

  • FTPS explicites : par défaut, les sites FTP et les clients utilisent le port 21 pour le canal de contrôle et le serveur et le client négocient les ports secondaires pour les connexions de canal de données. Dans une requête FTP classique, un client FTP se connecte à un site FTP sur le canal de contrôle puis le client peut négocier SSL/TLS avec le serveur pour le canal de contrôle ou le canal de données. Lorsque vous utilisez FTP 7, vous utilisez le protocole SSL explicite si vous activez FTPS et que vous affectez le site FTP à n’importe quel port sauf le port 990.
  • FTPS implicite : FTPS implicite est une forme plus ancienne de FTP sur SSL qui est toujours prise en charge par FTP 7. Avec FTPS implicite, l’établissement d’une liaison SSL doit être négociée avant que toutes les commandes FTP puissent être envoyées par le client. De plus, même si le protocole FTPS explicite permet au client de décider arbitrairement d’utiliser SSL, FTPS implicite exige que l’intégralité de la session FTP soit chiffrée. Lorsque vous utilisez FTP 7, vous utilisez le protocole SSL implicite si vous activez FTPS et que vous affectez le site FTP au port 990.

Selon les options de sécurité que vous configurez dans les attributs controlChannelPolicy et dataChannelPolicy, un client FTP peut basculer entre une session FTPS sécurisée et non sécurisée plusieurs fois dans une seule session FTPS explicite. Il existe plusieurs façons d’implémenter cette opération en fonction des besoins de votre entreprise :

controlChannelPolicy dataChannelPolicy Notes
SslAllow SslAllow Cette configuration permet au client de décider si une partie de la session FTP doit être chiffrée.
SslRequireCredentialsOnly SslAllow Cette configuration protège les informations d’identification de votre client FTP contre l’écoute électronique et permet au client de décider si les transferts de données doivent être chiffrés.
SslRequireCredentialsOnly SslRequire Cette configuration nécessite que les informations d’identification du client soient sécurisées puis laisse le client décider si les commandes FTP doivent être chiffrées. Toutefois, tous les transferts de données doivent être chiffrés.
SslRequire SslRequire Cette configuration est la plus sécurisée : le client doit négocier SSL à l’aide des commandes liées au protocole FTPS avant que d’autres commandes FTP soient autorisées et tous les transferts de données doivent être chiffrés.

Compatibilité

Version Notes
IIS 10.0 L’élément <ssl> n’a fait l’objet d’aucune modification dans IIS 10.0.
IIS 8.5 L’élément <ssl> n’a fait l’objet d’aucune modification dans IIS 8.5.
IIS 8.0 L’élément <ssl> n’a fait l’objet d’aucune modification dans IIS 8.0.
IIS 7.5 L’élément <ssl> de l’élément <security> est fourni en tant que fonctionnalité d’IIS 7.5.
IIS 7.0 L’élément <ssl> de l’élément <security>, qui était un téléchargement distinct pour IIS 7.0, a été introduit dans FTP 7.0.
IIS 6.0 Le service FTP dans IIS 6.0 ne prenait pas en charge FTP via SSL.

Remarque

Les services FTP 7.0 et FTP 7.5 ont été expédiés hors bande pour IIS 7.0, ce qui nécessite le téléchargement et l’installation du service à partir de l’URL suivante :

https://www.iis.net/expand/FTP

Avec Windows 7 et Windows Server 2008 R2, le service FTP 7.5 est fourni en tant que fonctionnalité pour IIS 7.5. Le téléchargement du service FTP n’est donc plus nécessaire.

Programme d’installation

Pour prendre en charge la publication FTP pour votre serveur web, vous devez installer le service FTP. Pour cela, procédez comme suit.

Windows Server 2012 ou Windows Server 2012 R2

  1. Dans la barre des tâches, cliquez sur Gestionnaire de serveur.

  2. Dans Gestionnaire de serveur, cliquez sur le menu Gérer puis sur Ajouter des rôles et des fonctionnalités.

  3. Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant. Sélectionnez le type d’installation, puis cliquez sur Suivant. Sélectionnez le serveur de destination puis cliquez sur Suivant.

  4. Sur la page Rôles de serveur, développez Serveur web (IIS)puis sélectionnez Serveur FTP.

    Remarque

    Pour prendre en charge l’authentification d’appartenance ASP ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez sélectionner l’extensibilité FTP en plus du service FTP.
    Screenshot of Web Server I I S and F T P Server pane expanded with F T P Extensibility highlighted. .

  5. Cliquez sur Suivant puis, sur la page Sélectionner des fonctionnalités, cliquez à nouveau sur Suivant.

  6. Dans la page Confirmer les sélections d’installation, cliquez sur Installer.

  7. Dans la page Résultats , cliquez sur Fermer.

Windows 8 ou Windows 8.1

  1. Sur l’écran d’accueil, déplacez le pointeur jusqu’au coin inférieur gauche, cliquez avec le bouton droit sur le bouton Démarrer puis cliquez sur Panneau de configuration.

  2. Sur le Panneau de configuration, cliquez sur Programmes et fonctionnalités puis sur Activer ou désactiver des fonctionnalités Windows.

  3. Développez Internet Information Services puis sélectionnez Serveur FTP.

    Remarque

    Pour prendre en charge l’authentification de l’appartenance ASP.NET ou du Gestionnaire IIS pour le service FTP, vous devez également sélectionner l’extensibilité FTP.
    Screenshot of Internet Information Services and F T P Server pane expanded with F T P Extensibility highlighted.

  4. Cliquez sur OK.

  5. Cliquez sur Fermer.

Windows Server 2008 R2

  1. Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration puis cliquez sur Gestionnaire de serveur.

  2. Dans le volet hiérarchie du Gestionnaire de serveur, développez Rôles, puis cliquez sur Serveur web (IIS).

  3. Dans le volet Serveur web (IIS), faites défiler jusqu’à la section Services de rôle, puis cliquez sur Ajouter des services de rôle.

  4. Sur la page Sélectionner des services de rôle de l’Assistant Ajouter des services de rôle, développez le Serveur FTP.

  5. Sélectionnez Service FTP.

    Remarque

    Pour prendre en charge l’authentification de l’appartenance ASP.NET ou du Gestionnaire IIS pour le service FTP, vous devez également sélectionner l’extensibilité FTP.
    Screenshot of F T P Server expanded with F T P Service selected.

  6. Sélectionnez Suivant.

  7. Dans la page Confirmer les sélections pour l'installation, cliquez sur Installer.

  8. Dans la page Résultats , cliquez sur Fermer.

Windows 7

  1. Dans la barre des tâches, cliquez sur Démarrer puis sur Panneau de configuration.

  2. Sur le Panneau de configuration, cliquez sur Programmes et fonctionnalités puis sur Activer ou désactiver des fonctionnalités Windows.

  3. Développez Internet Information Services puis Serveur FTP.

  4. Sélectionnez Service FTP.

    Remarque

    Pour prendre en charge l’authentification de l’appartenance ASP.NET ou du Gestionnaire IIS pour le service FTP, vous devez également sélectionner l’extensibilité FTP.
    Screenshot of Internet Information Services and F T P Server pane expanded with both F T P Extensibility and F T P Service selected.

  5. Cliquez sur OK.

Windows Vista ou Windows Server 2008

  1. Téléchargez le package d’installation à partir de l’URL suivante :

  2. Suivez les instructions de la procédure pas à pas suivante pour installer le service FTP :

Procédure

Comment configurer des options SSL pour un site FTP

  1. Ouvrez le Gestionnaire des services Internet (IIS) :

    • Si vous utilisez Windows Server 2012 ou Windows Server 2012 R2 :

      • Dans la barre des tâches, cliquez sur Gestionnaire de serveur, cliquez sur Outils puis sur Gestionnaire Internet Information Services (IIS).
    • Si vous utilisez Windows 8 ou Windows 8.1 :

      • Maintenez la touche Windows enfoncée, appuyez sur la lettre X puis cliquez sur Panneau de configuration.
      • Cliquez sur Outils d'administration puis double-cliquez sur Gestionnaire des services Internet (IIS).
    • Si vous utilisez Windows Server 2008 ou Windows Server 2008 R2 :

      • Cliquez sur Démarrer, placez le curseur sur Outils d'administration puis cliquez sur Gestionnaire Internet Information Services (IIS).
    • Si vous utilisez Windows Vista ou Windows 7 :

      • Dans la barre des tâches, cliquez sur Démarrer puis sur Panneau de configuration.
      • Double-cliquez sur Outils d'administration puis double-cliquez sur Gestionnaire des services Internet (IIS).
  2. Dans le volet Connexions , développez le nom du serveur, développez le nœud Sites puis cliquez sur le nom du site.

  3. Dans le volet Accueil du site, double-cliquez sur la fonctionnalité Paramètres SSL FTP.
    Screenshot of the site Home pane with F T P S S L Settings highlighted.

  4. Dans la liste des certificats SSL, sélectionnez le certificat que vous souhaitez utiliser pour les connexions au serveur FTP.
    Screenshot of F T P S S L Settings page displaying the field for S S L Certificate and S S L Policy option.

  5. Sous Stratégie SSL, sélectionnez l’une des options suivantes :

    • Autoriser les connexions SSL : permet au serveur FTP de prendre en charge les connexions SSL et non-SSL avec un client.

    • Exiger les connexions SSL : requiert le chiffrement SSL pour les communications entre le serveur FTP et un client.

    • Personnalisé : vous permet de configurer une autre stratégie de chiffrement SSL pour le canal de contrôle et le canal de données. Si vous choisissez cette option, cliquez sur le bouton Avancé.... Lorsque la boîte de dialogue Stratégie SSL avancée s’ouvre, sélectionnez les options suivantes :

      • Sous Canal de contrôle, sélectionnez l’une des options suivantes pour le chiffrement SSL sur le canal de contrôle :

        • Autoriser : spécifie que SSL est autorisé pour le canal de contrôle ; un client FTP peut utiliser SSL pour le canal de contrôle mais ce n’est pas obligatoire.
        • Exiger : spécifie que SSL est requis pour le canal de contrôle ; un client FTP peut ne pas basculer vers un mode de communication non sécurisé pour le canal de contrôle.
        • Exiger uniquement les informations d’identification : spécifie que seules les informations d’identification de l’utilisateur doivent être envoyées via une session SSL. Un client FTP doit utiliser SSL pour son nom d’utilisateur et son mot de passe, mais le client n’est pas tenu d’utiliser SSL pour le canal de contrôle une fois connecté.
      • Sous Canal de données, sélectionnez l’une des options suivantes pour le chiffrement SSL sur le canal de données :

        • Autoriser : SSL est autorisé pour le canal de données. Un client FTP peut utiliser SSL pour le canal de données mais cela n’est pas obligatoire.
        • Exiger : SSL est requis pour le canal de données. Un client FTP peut ne pas basculer vers un mode de communication non sécurisé pour le canal de données.
        • Refuser : SSL est refusé pour le canal de données. Un client FTP peut ne pas utiliser SSL pour le canal de données.
      • Cliquez sur OK pour fermer la boîte de dialogue Stratégie SSL avancée.

  6. Dans le volet Actions, cliquez sur Appliquer.

Configuration

L’élément <ssl> est configuré au niveau du site.

Attributs

Attribut Description
controlChannelPolicy Attribut d’énumération facultatif.

Spécifie la stratégie SSL pour le canal de contrôle FTP.

Remarque :  Il n’existe aucune valeur d’énumération qui refuse SSL pour le canal de commande. Pour refuser SSL, ne liez pas de certificat SSL au site FTP en spécifiant un hachage de certificat dans l’attribut serverCertHash.
Valeur Description
SslAllow Spécifie que SSL est autorisé pour le canal de contrôle.

La valeur numérique est 0.
SslRequire Spécifie que SSL est requis pour le canal de contrôle.

La valeur numérique est 1.
SslRequireCredentialsOnly Spécifie que seules les commandes « USER » et « PASS » doivent être envoyées via la session SSL. Une fois qu’un client FTP s’est connecté, le client peut basculer vers un mode non sécurisé.

La valeur numérique est 2.
La valeur par défaut est SslRequire.
dataChannelPolicy Attribut d’énumération facultatif.

Spécifie la stratégie SSL pour le canal de données FTP.
Valeur Description
SslAllow Spécifie que SSL est autorisé pour le canal de données.

La valeur numérique est 0.
SslRequire Spécifie que SSL est requis pour le canal de données.

La valeur numérique est 1.
SslDeny Spécifie que SSL est refusé pour le canal de données.

La valeur numérique est 2.
La valeur par défaut est SslRequire.
serverCertHash Attribut de chaîne facultatif.

Spécifie le hachage d’empreinte numérique du certificat côté serveur à utiliser pour les connexions SSL.

Il n'y a pas de valeur par défaut.
serverCertStoreName Attribut de chaîne facultatif.

Spécifie le magasin de certificats pour les certificats SSL du serveur.

La valeur par défaut est MY.
ssl128 Attribut Boolean facultatif.

Spécifie si SSL 128 bits est requis.

La valeur par défaut est false.

Éléments enfants

Aucune.

Exemple Configuration

L’exemple suivant illustre plusieurs paramètres de configuration dans l’élément <ftpServer> d’un site FTP. Plus précisément, les paramètres <site> de cet exemple montrent comment :

  • Créer un site FTP et ajoutez la liaison pour le protocole FTP sur le port 21.
  • Configurer les options SSL FTP pour autoriser l’accès sécurisé sur le canal de contrôle et de données à l’aide d’un certificat.
  • Désactiver l’Authentification anonyme et activer l’Authentification de base pour FTP.
  • Refuser l’accès pour la commande FTP SYST.
  • Spécifier le format de liste de répertoire UNIX.
  • Configurer les options de journalisation.
  • Spécifier un message d’accueil personnalisé et activer les messages d’erreur détaillés locaux.
  • Spécifier que les utilisateurs démarrent dans un répertoire de base basé sur leur nom de connexion mais uniquement si ce répertoire existe.
<site name="ftp.example.com" id="5">
  <application path="/">
    <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
  </application>
  <bindings>
    <binding protocol="ftp" bindingInformation="*:21:" />
  </bindings>
  <ftpServer>
    <security>
      <ssl controlChannelPolicy="SslAllow"
         dataChannelPolicy="SslAllow"
         serverCertHash="57686f6120447564652c2049495320526f636b73" />
      <authentication>
        <basicAuthentication enabled="true" />
        <anonymousAuthentication enabled="false" />
      </authentication>
      <commandFiltering maxCommandLine="4096" allowUnlisted="true">
        <add command="SYST" allowed="false" />
      </commandFiltering>
    </security>
    <directoryBrowse showFlags="StyleUnix" />
    <logFile logExtFileFlags="Date, Time, ClientIP, UserName, ServerIP, Method, UriStem, FtpStatus, Win32Status, ServerPort, FtpSubStatus, Session, FullPath, Info" />
    <messages expandVariables="true"
       greetingMessage="Welcome %UserName%!"
       allowLocalDetailedErrors="true" />
    <userIsolation mode="StartInUsersDirectory" />
  </ftpServer>
</site>

Exemple de code

Les exemples suivants configurent un site FTP afin qu’il nécessite SSL pour le canal de données et le canal de contrôle.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

Remarque

Vous devez veiller à définir le paramètre commit sur apphost quand vous utilisez AppCmd.exe pour configurer ces paramètres. Cela valide les paramètres de configuration dans la section d’emplacement appropriée dans le fichier ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();

         ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
         if (siteElement == null) throw new InvalidOperationException("Element not found!");

         ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");

         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
         sslElement["serverCertHash"] = @"57686f6120447564652c2049495320526f636b73";
         sslElement["controlChannelPolicy"] = @"SslRequire";
         sslElement["dataChannelPolicy"] = @"SslRequire";

         serverManager.CommitChanges();
      }
   }
   
   private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")
      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")

      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
      sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      sslElement("controlChannelPolicy") = "SslRequire"
      sslElement("dataChannelPolicy") = "SslRequire"

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);

if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item(siteElementPos);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");

var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire";

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))

If siteElementPos = -1 Then
Wscript.Echo "Element not found!"
WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")

Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire"

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function