Partager via

Certificats client SSL FTP <sslClientCertificates>

  • Article

Vue d’ensemble

L’élément <sslClientCertificates> spécifie les options de certificat client SSL pour les sites FTP. Plus précisément, cet élément contient les attributs suivants, qui sont abordés en détail dans la section configuration de cette rubrique :

  • L’attribut clientCertificatePolicy spécifie si les certificats clients seront autorisés, requis ou ignorés.
  • L’attribut validationFlags spécifie le comportement d’un site FTP pour vérifier la révocation des certificats.
  • L’attribut revocationFreshnessTime spécifie la durée pendant laquelle la liste de révocation est valide.
  • L’attribut revocationUrlRetrievalTimeout spécifie le délai d’attente pour la récupération des informations de révocation de certificat.
  • L’attribut useActiveDirectoryMapping spécifie si le mappage Active Directory doit être autorisé pour les certificats clients. Remarque : Cet attribut est utilisé conjointement avec l’élément <clientCertAuthentication> pour configurer le mappage de certificat à l’aide d’Active Directory.

Compatibilité

Version Notes
IIS 10.0 L’élément <sslClientCertificates> n’a fait l’objet d’aucune modification dans IIS 10.0.
IIS 8.5 L’élément <sslClientCertificates> n’a fait l’objet d’aucune modification dans IIS 8.5.
IIS 8.0 L’élément <sslClientCertificates> n’a fait l’objet d’aucune modification dans IIS 8.0.
IIS 7.5 L’élément <sslClientCertificates> de l’élément <security> est fourni en tant que fonctionnalité d’IIS 7.5.
IIS 7.0 L’élément <sslClientCertificates> de l’élément <security> a été introduit dans FTP 7.0, qui était un téléchargement distinct pour IIS 7.0.
IIS 6.0 L’élément <ftpServer> et ses éléments enfants remplacent les paramètres FTP IIS 6.0 qui se trouvaient dans le chemin de métabase LM/MSFTPSVC.

Remarque

Les services FTP 7.0 et FTP 7.5 ont été expédiés hors bande pour IIS 7.0, ce qui nécessite le téléchargement et l’installation des modules à partir de l’URL suivante :

https://www.iis.net/expand/FTP

Avec Windows 7 et Windows Server 2008 R2, le service FTP 7.5 est fourni en tant que fonctionnalité pour IIS 7.5. Le téléchargement du service FTP n’est donc plus nécessaire.

Programme d’installation

Pour prendre en charge la publication FTP pour votre serveur web, vous devez installer le service FTP. Pour cela, procédez comme suit.

Windows Server 2012 ou Windows Server 2012 R2

  1. Dans la barre des tâches, cliquez sur Gestionnaire de serveur.

  2. Dans Gestionnaire de serveur, cliquez sur le menu Gérer, puis sur Ajouter des rôles et des fonctionnalités.

  3. Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant. Sélectionnez le type d’installation, puis cliquez sur Suivant. Sélectionnez le serveur de destination, puis cliquez sur Suivant.

  4. Dans la page Rôles serveur, développez Serveur web (IIS), puis sélectionnez Serveur FTP.

    Remarque

    Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez sélectionner l’extensibilité FTP, en plus du service FTP.
    Screenshot of Web Server I I S pane expanded with F T P Extensibility selected. .

  5. Cliquez sur Suivant, puis, dans la page Sélectionner des fonctionnalités, cliquez à nouveau sur Suivant.

  6. Dans la page Confirmer les sélections d’installation, cliquez sur Installer.

  7. Dans la page Résultats , cliquez sur Fermer.

Windows 8 ou Windows 8.1

  1. Dans l’écran d’accueil, déplacez le pointeur jusqu’au coin inférieur gauche, cliquez avec le bouton droit sur le bouton Démarrer, puis cliquez sur Panneau de configuration.

  2. Dans Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows.

  3. Développez Internet Information Services, puis sélectionnez Serveur FTP.

    Remarque

    Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
    Image of Internet Information Services and F T P Server pane expanded with F T P Extensibility selected.

  4. Cliquez sur OK.

  5. Cliquez sur Fermer.

Windows Server 2008 R2

  1. Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.

  2. Dans le volet hiérarchie du Gestionnaire de serveur, développez Rôles, puis cliquez sur Serveur web (IIS).

  3. Dans le volet Serveur web (IIS), faites défiler jusqu’à la section Services de rôle, puis cliquez sur Ajouter des services de rôle.

  4. Dans la page Sélectionner des services de rôle de l’Assistant Ajouter des services de rôle, développez le Serveur FTP.

  5. Sélectionnez Service FTP.

    Remarque

    Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
    Screenshot of Select Role Services page of Add Role Services Wizard with F T P Server pane expanded and F T P Service selected.

  6. Sélectionnez Suivant.

  7. Dans la page Confirmer les sélections pour l'installation, cliquez sur Installer.

  8. Dans la page Résultats , cliquez sur Fermer.

Windows 7

  1. Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.

  2. Dans le Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows.

  3. Développez Internet Information Services, puis Serveur FTP.

  4. Sélectionnez Service FTP.

    Remarque

    Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
    Image of Internet Information Services and F T P Server pane expanded displaying F T P Extensibility selected.

  5. Cliquez sur OK.

Windows Vista ou Windows Server 2008

  1. Téléchargez le package d’installation à partir de l’URL suivante :

  2. Suivez les instructions de la procédure pas à pas suivante pour installer le service FTP :

Procédure

À ce stade, il n’existe aucune interface utilisateur qui vous permette de configurer les paramètres d’authentification de certificat client sur un site FTP. Consultez les sections Configuration et Exemple de code de ce document pour plus d’informations sur la configuration des fonctionnalités personnalisées des paramètres d’authentification de certificat client sur un site FTP.

Configuration

L’élément <sslClientCertificates> est configuré au niveau du site.

Attributs

Attribut Description
clientCertificatePolicy Attribut d’énumération facultatif.

Spécifie la stratégie de certificat client.
Valeur Description
CertIgnore Spécifie que les certificats clients ne seront pas négociés pour la session SSL.

La valeur numérique est 0.
CertAllow Spécifie que les certificats clients seront autorisés. Si le client choisit d’envoyer un certificat, le certificat doit être valide et le serveur doit être en mesure de le valider correctement.

La valeur numérique est 1.
CertRequire Spécifie que les certificats clients seront requis. Les clients FTP ne sont pas autorisés à se connecter, sauf s’ils envoient un certificat client valide au serveur.

La valeur numérique est 2.
La valeur par défaut est CertIgnore.
validationFlags Attribut d’indicateurs facultatifs.

Spécifie les indicateurs qui affectent la validation du certificat client.
Valeur Description
NoRevocationCheck

Spécifie que les vérifications de révocation de certificats sont ignorées.

Avertissement : il n’est pas recommandé d’ignorer la validation de révocation.

La valeur numérique est 1.

CertChainRevocationCheckCacheOnly Spécifie que la vérification de la révocation n’accède qu’aux URL mises en cache.

La valeur numérique est 2.
CertChainCacheOnlyUrlRetrieval Spécifie uniquement les URL mises en cache dans la création d’une chaîne de certificats. Aucune recherche d’objets basés sur l’URL n’est effectuée sur Internet et l’intranet.

La valeur numérique est 4.
CertNoUsageCheck Ne vérifie pas le certificat client pour les indicateurs d’utilisation. La vérification de l’utilisation est activée par défaut et est destinée à garantir que seuls les certificats clients qui autorisent l’authentification du client sont autorisés.

La valeur numérique est 8.
Il n'y a pas de valeur par défaut.
revocationFreshnessTime Attribut timeSpan facultatif.

Spécifie la durée pendant laquelle la liste de révocation est valide.

La valeur par défaut est 00:00:00.
revocationUrlRetrievalTimeout Attribut timeSpan facultatif.

Spécifie le délai d’expiration pour la récupération des informations de révocation de certificat.

La valeur par défaut est 00:01:00.
useActiveDirectoryMapping Attribut Boolean facultatif.

true si le mappage Active Directory doit être autorisé pour les certificats clients ; sinon, false. Le mappage Active Directory permet aux utilisateurs de domaine de se connecter à l’aide d’un certificat client configuré dans Active Directory.

Remarque : cette fonctionnalité permet uniquement à la couche SSL de tenter de mapper un certificat client à un jeton utilisateur ; le jeton ne sera pas utilisé automatiquement. L’élément <clientCertAuthentication> est utilisé pour activer le jeton mappé en vue d’une utilisation par FTP au lieu des informations d’identification spécifiées via les commandes « USER » et « PASS ».

La valeur par défaut est false.

Éléments enfants

Aucune.

Exemple Configuration

L’exemple suivant affiche un site FTP qui nécessite des certificats SSL et clients pour le canal de données et le canal de contrôle.

<site name="ftp.example.com" id="5">
   <application path="/">
      <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
   </application>
   <bindings>
      <binding protocol="ftp" bindingInformation="*:21:" />
   </bindings>
   <ftpServer serverAutoStart="true">
      <security>
         <authentication>
            <anonymousAuthentication enabled="false" />
            <basicAuthentication enabled="true" />
         </authentication>
         <ssl serverCertHash="57686f6120447564652c2049495320526f636b73"
            controlChannelPolicy="SslRequire"
            dataChannelPolicy="SslRequire" />
         <sslClientCertificates clientCertificatePolicy="CertRequire"
            useActiveDirectoryMapping="false" />
      </security>
   </ftpServer>
</site>

Exemple de code

Les exemples suivants configurent un site FTP afin qu’il nécessite des certificats clients et exige SSL pour le canal de données et le canal de contrôle.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.sslClientCertificates.clientCertificatePolicy:"CertRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.sslClientCertificates.useActiveDirectoryMapping:"False" /commit:apphost

Remarque

Vous devez veiller à définir le paramètre commit sur apphost quand vous utilisez AppCmd.exe pour configurer ces paramètres. Cela valide les paramètres de configuration dans la section d’emplacement appropriée dans le fichier ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();

         ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
         if (siteElement == null) throw new InvalidOperationException("Element not found!");

         ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");

         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
         sslElement["serverCertHash"] = @"57686f6120447564652c2049495320526f636b73";
         sslElement["controlChannelPolicy"] = @"SslRequire";
         sslElement["dataChannelPolicy"] = @"SslRequire";

         ConfigurationElement sslClientCertificatesElement = securityElement.GetChildElement("sslClientCertificates");
         sslClientCertificatesElement["clientCertificatePolicy"] = @"CertRequire";
         sslClientCertificatesElement["useActiveDirectoryMapping"] = false;

         serverManager.CommitChanges();
      }
   }
   
   private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")
      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")

      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
      sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      sslElement("controlChannelPolicy") = "SslRequire"
      sslElement("dataChannelPolicy") = "SslRequire"

      Dim sslClientCertificatesElement As ConfigurationElement = securityElement.GetChildElement("sslClientCertificates")
      sslClientCertificatesElement("clientCertificatePolicy") = "CertRequire"
      sslClientCertificatesElement("useActiveDirectoryMapping") = False

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);

if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item(siteElementPos);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");

var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire";

var sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates");
sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire";
sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = false;

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))

If siteElementPos = -1 Then
Wscript.Echo "Element not found!"
WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")

Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire"

Set sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates")
sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire"
sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = False

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function