Condividi tramite

FTP tramite SSL <>

  • Articolo

Panoramica

L'elemento <ssl> specifica le impostazioni FTP su Secure Sockets Layer (SSL) per il servizio FTP; FTP tramite SSL è stato introdotto per la prima volta per IIS 7 in FTP 7.0.

A differenza dell'uso di HTTP su SSL, che richiede una porta e una connessione separata per la comunicazione sicura (HTTPS), la comunicazione FTP sicura si verifica sulla stessa porta della comunicazione non sicura. FTP 7 supporta due forme diverse di FTP tramite SSL:

  • FTPS esplicito: per impostazione predefinita, i siti FTP e i client usano la porta 21 per il canale di controllo e il server e il client negozieranno le porte secondarie per le connessioni del canale dati. In una tipica richiesta FTP, un client FTP si connetterà a un sito FTP tramite il canale di controllo e quindi il client può negoziare SSL/TLS con il server per il canale di controllo o il canale dati. Quando si usa FTP 7, si usa SSL esplicito se si abilita FTPS e si assegna il sito FTP a qualsiasi porta diversa dalla porta 990.
  • FTPS implicito: FTPS implicito è una forma precedente di FTP tramite SSL che è ancora supportata da FTP 7. Con FTPS implicito, è necessario negoziare un handshake SSL prima che tutti i comandi FTP possano essere inviati dal client. Inoltre, anche se FTPS esplicito consente al client di decidere arbitrariamente se usare SSL, FTPS implicito richiede che l'intera sessione FTP debba essere crittografata. Quando si usa FTP 7, si usa SSL implicito se si abilita FTPS e si assegna il sito FTP alla porta 990.

A seconda delle opzioni di sicurezza configurate negli controlChannelPolicy attributi e dataChannelPolicy , un client FTP può passare da un client FTP a più volte sicuro e non sicuro in una singola sessione FTPS esplicita. Esistono diversi modi per implementare questa operazione a seconda delle esigenze aziendali:

controlChannelPolicy dataChannelPolicy Note
SslAllow SslAllow Questa configurazione consente al client di decidere se una parte della sessione FTP deve essere crittografata.
SslRequireCredentialsOnly SslAllow Questa configurazione protegge le credenziali client FTP dall'eavesdropping elettronico e consente al client di decidere se i trasferimenti di dati devono essere crittografati.
SslRequireCredentialsOnly SslRequire Questa configurazione richiede che le credenziali del client siano sicure e quindi consente al client di decidere se i comandi FTP devono essere crittografati. Tuttavia, tutti i trasferimenti di dati devono essere crittografati.
SslRequire SslRequire Questa configurazione è la più sicura: il client deve negoziare SSL usando i comandi correlati a FTPS prima che siano consentiti altri comandi FTP e tutti i trasferimenti di dati devono essere crittografati.

Compatibilità

Versione Note
IIS 10.0 L'elemento <ssl> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <ssl> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <ssl> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <ssl> dell'elemento <security> viene fornito come funzionalità di IIS 7.5.
IIS 7.0 L'elemento <ssl> dell'elemento <security> è stato introdotto in FTP 7.0, che è stato un download separato per IIS 7.0.
IIS 6.0 Il servizio FTP in IIS 6.0 non supporta FTP tramite SSL.

Nota

I servizi FTP 7.0 e FTP 7.5 sono stati forniti fuori banda per IIS 7.0, che hanno richiesto il download e l'installazione dei moduli dall'URL seguente:

https://www.iis.net/expand/FTP

Con Windows 7 e Windows Server 2008 R2, il servizio FTP 7.5 viene fornito come funzionalità per IIS 7.5, quindi il download del servizio FTP non è più necessario.

Installazione

Per supportare la pubblicazione FTP per il server Web, è necessario installare il servizio FTP. A tale scopo, seguire questa procedura.

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.

  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.

  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.

  4. Nella pagina Ruoli server espandere Server Web (IIS) e quindi selezionare FTP Server.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di GESTIONE IIS per il servizio FTP, sarà necessario selezionare FTP Extensibility, oltre al servizio FTP.
    Screenshot del riquadro Server Web I S e F T P Server espanso con F T P Extensibility evidenziato. .

  5. Fare clic su Avanti e quindi nella pagina Seleziona funzionalità fare di nuovo clic su Avanti .

  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore nell'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi fare clic su Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva le funzionalità di Windows.

  3. Espandere Internet Information Services e quindi selezionare SERVER FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di GESTIONE IIS per il servizio FTP, sarà anche necessario selezionare FTP Extensibility.
    Screenshot del riquadro Internet Information Services e F T P Server espanso con F T T Extensibility evidenziato.

  4. Fare clic su OK.

  5. Fare clic su Close.

Windows Server 2008 R2

  1. Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Server Manager.

  2. Nel riquadro della gerarchia di Server Manager espandere Ruoli e quindi fare clic su Server Web (IIS).

  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.

  4. Nella pagina Seleziona servizi ruolo della Procedura guidata Aggiungi servizi ruolo espandere SERVER FTP.

  5. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di GESTIONE IIS per il servizio FTP, sarà anche necessario selezionare FTP Extensibility.
    Screenshot del server F T P espanso con F T P Service selezionato.

  6. Fare clic su Avanti.

  7. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  8. Nella pagina Risultati fare clic su Chiudi.

Windows 7

  1. Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services e quindi FTP Server.

  4. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di GESTIONE IIS per il servizio FTP, sarà anche necessario selezionare FTP Extensibility.
    Screenshot del riquadro Internet Information Services e F T P Server espanso con f T T Extensibility e F T P Service selezionato.

  5. Fare clic su OK.

Windows Server 2008 o Windows Vista

  1. Scaricare il pacchetto di installazione dall'URL seguente:

  2. Seguire le istruzioni riportate nella procedura dettagliata seguente per installare il servizio FTP:

Procedure

Come configurare le opzioni SSL per un sito FTP

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Nella barra delle applicazioni fare clic su Server Manager, scegliere Strumenti e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Nella barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione e quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Nella barra delle applicazioni fare clic su Start e quindi fare clic su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione e quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni espandere il nome del server, espandere il nodo Siti e quindi fare clic sul nome del sito.

  3. Nel riquadro Home del sito fare doppio clic sulla funzionalità Impostazioni SSL FTP .
    Screenshot del riquadro Home del sito con le impostazioni F S S L evidenziate.

  4. Nell'elenco Certificati SSL selezionare il certificato che si vuole usare per le connessioni al server FTP.
    Screenshot della pagina Impostazioni F T S S L che visualizza il campo per il certificato S L E S L Policy.

  5. In Criteri SSL selezionare una delle opzioni seguenti:

    • Consenti connessioni SSL: consente al server FTP di supportare le connessioni NON SSL e SSL con un client.

    • Richiedi connessioni SSL: richiede la crittografia SSL per la comunicazione tra il server FTP e un client.

    • Personalizzato: consente di configurare criteri di crittografia SSL diversi per il canale di controllo e il canale dati. Se si sceglie questa opzione, fare clic sul pulsante Avanzate. Quando si apre la finestra di dialogo Criteri SSL avanzati , selezionare le opzioni seguenti:

      • In Canale di controllo selezionare una delle opzioni seguenti per la crittografia SSL sul canale di controllo:

        • Consenti: specifica che SSL è consentito per il canale di controllo; un client FTP può usare SSL per il canale di controllo, ma non è obbligatorio.
        • Richiedi: specifica che SSL è necessario per il canale di controllo; un client FTP potrebbe non passare a una modalità di comunicazione non sicura per il canale di controllo.
        • Richiedi solo le credenziali: specifica che solo le credenziali utente devono essere inviate tramite sessione SSL; un client FTP deve usare SSL per il nome utente e la password, ma il client non è necessario usare SSL per il canale di controllo dopo aver eseguito l'accesso.

      • In Canale dati selezionare una delle opzioni seguenti per la crittografia SSL nel canale dati:

        • Consenti: SSL è consentito per il canale dati; un client FTP può usare SSL per il canale dati, ma non è obbligatorio.
        • Richiedi: SSL è obbligatorio per il canale dati; un client FTP potrebbe non passare a una modalità di comunicazione non sicura per il canale dati.
        • Nega: SSL viene negato per il canale dati; un client FTP potrebbe non usare SSL per il canale dati.

      • Fare clic su OK per chiudere la finestra di dialogo Criteri SSL avanzati .

  6. Nel riquadro Azioni fare clic su Applica.

Configurazione

L'elemento <ssl> è configurato a livello di sito.

Attributi

Attributo Descrizione
controlChannelPolicy Attributo enumerazione facoltativo.

Specifica i criteri SSL per il canale di controllo FTP.

Nota: Non esiste alcun valore enumerazione che nega SSL per il canale di comando; per negare SSL, non associare un certificato SSL al sito FTP specificando un hash del certificato nell'attributo serverCertHash .
Valore Descrizione
SslAllow Specifica che SSL è consentito per il canale di controllo.

Il valore numerico è 0.
SslRequire Specifica che SSL è necessario per il canale di controllo.

Il valore numerico è 1.
SslRequireCredentialsOnly Specifica che solo i comandi "USER" e "PASS" devono essere inviati tramite sessione SSL. Dopo aver eseguito l'accesso a un client FTP, il client può passare a una modalità non sicura.

Il valore numerico è 2.
Il valore predefinito è SslRequire.
dataChannelPolicy Attributo enumerazione facoltativo.

Specifica i criteri SSL per il canale dati FTP.
Valore Descrizione
SslAllow Specifica che SSL è consentito per il canale dati.

Il valore numerico è 0.
SslRequire Specifica che SSL è obbligatorio per il canale dati.

Il valore numerico è 1.
SslDeny Specifica che SSL viene negato per il canale dati.

Il valore numerico è 2.
Il valore predefinito è SslRequire.
serverCertHash Attributo stringa facoltativo.

Specifica l'hash di identificazione personale per il certificato lato server da usare per le connessioni SSL.

Non è previsto alcun valore predefinito.
serverCertStoreName Attributo stringa facoltativo.

Specifica l'archivio certificati per i certificati SSL del server.

Il valore predefinito è MY.
ssl128 Attributo Boolean facoltativo.

Specifica se è necessario SSL a 128 bit.

Il valore predefinito è false.

Elementi figlio

Nessuno.

Esempio di configurazione

L'esempio seguente illustra diverse impostazioni di configurazione nell'elemento <ftpServer> per un sito FTP. In particolare, le <site> impostazioni in questo esempio illustrano come:

  • Creare un sito FTP e aggiungere l'associazione per il protocollo FTP sulla porta 21.
  • Configurare le opzioni SSL FTP per consentire l'accesso sicuro sia nel controllo che nel canale dati usando un certificato.
  • Disabilitare l'autenticazione anonima e abilitare l'autenticazione di base per FTP.
  • Negare l'accesso per il comando SYST FTP.
  • Specificare il formato di elenco di directory UNIX.
  • Configurare le opzioni di registrazione.
  • Specificare un messaggio di benvenuto personalizzato e abilitare i messaggi di errore dettagliati locali.
  • Specificare che gli utenti inizieranno in una home directory basata sul nome di accesso, ma solo se esiste tale directory.
<site name="ftp.example.com" id="5">
  <application path="/">
    <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
  </application>
  <bindings>
    <binding protocol="ftp" bindingInformation="*:21:" />
  </bindings>
  <ftpServer>
    <security>
      <ssl controlChannelPolicy="SslAllow"
         dataChannelPolicy="SslAllow"
         serverCertHash="57686f6120447564652c2049495320526f636b73" />
      <authentication>
        <basicAuthentication enabled="true" />
        <anonymousAuthentication enabled="false" />
      </authentication>
      <commandFiltering maxCommandLine="4096" allowUnlisted="true">
        <add command="SYST" allowed="false" />
      </commandFiltering>
    </security>
    <directoryBrowse showFlags="StyleUnix" />
    <logFile logExtFileFlags="Date, Time, ClientIP, UserName, ServerIP, Method, UriStem, FtpStatus, Win32Status, ServerPort, FtpSubStatus, Session, FullPath, Info" />
    <messages expandVariables="true"
       greetingMessage="Welcome %UserName%!"
       allowLocalDetailedErrors="true" />
    <userIsolation mode="StartInUsersDirectory" />
  </ftpServer>
</site>

Codice di esempio

Gli esempi seguenti configurano un sito FTP in modo che richieda SSL sia per il canale di dati che per il canale di controllo.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

Nota

È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();

         ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
         if (siteElement == null) throw new InvalidOperationException("Element not found!");

         ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");

         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
         sslElement["serverCertHash"] = @"57686f6120447564652c2049495320526f636b73";
         sslElement["controlChannelPolicy"] = @"SslRequire";
         sslElement["dataChannelPolicy"] = @"SslRequire";

         serverManager.CommitChanges();
      }
   }
   
   private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")
      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")

      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
      sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      sslElement("controlChannelPolicy") = "SslRequire"
      sslElement("dataChannelPolicy") = "SslRequire"

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);

if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item(siteElementPos);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");

var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire";

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))

If siteElementPos = -1 Then
Wscript.Echo "Element not found!"
WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")

Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire"

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function