Condividi tramite

Certificati <client SSL FTP sslClientCertificates>

  • Articolo

Panoramica

L'elemento <sslClientCertificates> specifica le opzioni del certificato client SSL per i siti FTP. In particolare, questo elemento contiene gli attributi seguenti, descritti in dettaglio nella sezione di configurazione di questo argomento:

  • L'attributo clientCertificatePolicy specifica se i certificati client saranno consentiti, obbligatori o ignorati.
  • L'attributo validationFlags specifica il comportamento di un sito FTP per il controllo della revoca dei certificati.
  • L'attributo revocationFreshnessTime specifica la quantità di tempo in cui l'elenco di revoche è valido.
  • L'attributo revocationUrlRetrievalTimeout specifica il timeout per il recupero delle informazioni di revoca del certificato
  • L'attributo useActiveDirectoryMapping specifica se il mapping di Active Directory deve essere consentito per i certificati client. Nota: questo attributo viene usato in combinazione con l'elemento per configurare il <clientCertAuthentication> mapping dei certificati tramite Active Directory.

Compatibilità

Versione Note
IIS 10.0 L'elemento <sslClientCertificates> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <sslClientCertificates> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <sslClientCertificates> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <sslClientCertificates> dell'elemento <security> viene fornito come funzionalità di IIS 7.5.
IIS 7.0 L'elemento <sslClientCertificates> dell'elemento <security> è stato introdotto in FTP 7.0, che era un download separato per IIS 7.0.
IIS 6.0 L'elemento <ftpServer> e i relativi elementi figlio sostituiscono le impostazioni FTP di IIS 6.0 che si trovano nel percorso della metabase LM/MSFTPSVC .

Nota

I servizi FTP 7.0 e FTP 7.5 forniti fuori banda per IIS 7.0, che richiedevano il download e l'installazione dei moduli dall'URL seguente:

https://www.iis.net/expand/FTP

Con Windows 7 e Windows Server 2008 R2, il servizio FTP 7.5 viene fornito come funzionalità per IIS 7.5, quindi il download del servizio FTP non è più necessario.

Installazione

Per supportare la pubblicazione FTP per il server Web, è necessario installare il servizio FTP. A tale scopo, seguire questa procedura.

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.

  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.

  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.

  4. Nella pagina Ruoli server espandere Server Web (IIS) e quindi selezionare Server FTP.

    Nota

    Per supportare ASP. Autenticazione di appartenenza o autenticazione di Gestione IIS per il servizio FTP, sarà necessario selezionare Estendibilità FTP, oltre al servizio FTP.
    Screenshot del riquadro Server Web I S espanso con L'opzione F T P Extensibility selezionata. .

  5. Fare clic su Avanti e quindi nella pagina Seleziona funzionalità fare di nuovo clic su Avanti .

  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore fino all'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi scegliere Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services e quindi selezionare Server FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Immagine del riquadro Internet Information Services e F T P Server espanso con estendibilità F T P selezionata.

  4. Fare clic su OK.

  5. Fare clic su Close.

Windows Server 2008 R2

  1. Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Server Manager.

  2. Nel riquadro della gerarchia Server Manager espandere Ruoli, quindi fare clic su Server Web (IIS).

  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.

  4. Nella pagina Selezione servizi ruolo della Procedura guidata Aggiungi servizi ruolo espandere Server FTP.

  5. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Screenshot della pagina Selezione servizi ruolo del riquadro Aggiungi servizio ruolo con il riquadro F T P Server espanso e F T P Service selezionato.

  6. Fare clic su Avanti.

  7. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.

  8. Nella pagina Risultati fare clic su Chiudi.

Windows 7

  1. Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.

  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.

  3. Espandere Internet Information Services e quindi server FTP.

  4. Selezionare Servizio FTP.

    Nota

    Per supportare ASP. L'autenticazione di appartenenza o l'autenticazione di Gestione IIS per il servizio FTP, sarà anche necessario selezionare Estendibilità FTP.
    Immagine del riquadro Internet Information Services e F T P Server espanso in cui è selezionata l'estendibilità F T P.

  5. Fare clic su OK.

Windows Server 2008 o Windows Vista

  1. Scaricare il pacchetto di installazione dall'URL seguente:

  2. Seguire le istruzioni riportate nella procedura dettagliata seguente per installare il servizio FTP:

Procedure

Al momento non è disponibile alcuna interfaccia utente che consente di configurare le impostazioni di autenticazione del certificato client per un sito FTP. Per altre informazioni su come configurare le impostazioni di autenticazione del certificato client in un sito FTP, vedere le sezioni Configurazione e codice di esempio di questo documento.

Configurazione

L'elemento <sslClientCertificates> è configurato a livello di sito.

Attributi

Attributo Descrizione
clientCertificatePolicy Attributo di enumerazione facoltativo.

Specifica i criteri del certificato client.
Valore Descrizione
CertIgnore Specifica che i certificati client non verranno negoziati per la sessione SSL.

Il valore numerico è 0.
CertAllow Specifica che i certificati client saranno consentiti. Se il client sceglie di inviare un certificato, il certificato deve essere valido e il server deve essere in grado di convalidarlo correttamente.

Il valore numerico è 1.
CertRequire Specifica che saranno necessari i certificati client. I client FTP non potranno connettersi a meno che non inviino un certificato client valido al server.

Il valore numerico è 2.
Il valore predefinito è CertIgnore.
validationFlags Attributo flag facoltativo.

Specifica i flag che influiscono sulla convalida del certificato client.
Valore Descrizione
NoRevocationCheck

Specifica che i controlli di revoca dei certificati verranno ignorati.

Avviso: non è consigliabile ignorare la convalida della revoca.

Il valore numerico è 1.

CertChainRevocationCheckCacheOnly Specifica che la verifica della revoca accede solo agli URL memorizzati nella cache.

Il valore numerico è 2.
CertChainCacheOnlyUrlRetrieval Specifica solo GLI URL memorizzati nella cache nella compilazione di una catena di certificati. Internet e intranet non vengono cercati oggetti basati su URL.

Il valore numerico è 4.
CertNoUsageCheck Non controlla il certificato client per i flag di utilizzo. Il controllo di utilizzo è abilitato per impostazione predefinita ed è destinato a garantire che siano consentiti solo i certificati client che consentono l'autenticazione client.

Il valore numerico è 8.
Non è previsto alcun valore predefinito.
revocationFreshnessTime Attributo timeSpan facoltativo.

Specifica il tempo di validità dell'elenco di revoche.

Il valore predefinito è 00:00:00.
revocationUrlRetrievalTimeout Attributo timeSpan facoltativo.

Specifica il timeout per il recupero delle informazioni sulla revoca dei certificati.

Il valore predefinito è 00:01:00.
useActiveDirectoryMapping Attributo Boolean facoltativo.

true se il mapping di Active Directory deve essere consentito per i certificati client; in caso contrario, false. Il mapping di Active Directory consente agli utenti di dominio di accedere usando un certificato client configurato in Active Directory.

Nota: Questa funzionalità consente solo al livello SSL di tentare di eseguire il mapping di un certificato client a un token utente; il token non verrà usato automaticamente. L'elemento <clientCertAuthentication> viene usato per abilitare il token mappato da usare da FTP anziché le credenziali specificate tramite i comandi "USER" e "PASS".

Il valore predefinito è false.

Elementi figlio

Nessuno.

Esempio di configurazione

Nell'esempio seguente viene visualizzato un sito FTP che richiede certificati SSL e client sia per il canale di dati che per il canale di controllo.

<site name="ftp.example.com" id="5">
   <application path="/">
      <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
   </application>
   <bindings>
      <binding protocol="ftp" bindingInformation="*:21:" />
   </bindings>
   <ftpServer serverAutoStart="true">
      <security>
         <authentication>
            <anonymousAuthentication enabled="false" />
            <basicAuthentication enabled="true" />
         </authentication>
         <ssl serverCertHash="57686f6120447564652c2049495320526f636b73"
            controlChannelPolicy="SslRequire"
            dataChannelPolicy="SslRequire" />
         <sslClientCertificates clientCertificatePolicy="CertRequire"
            useActiveDirectoryMapping="false" />
      </security>
   </ftpServer>
</site>

Codice di esempio

Gli esempi seguenti configurano un sito FTP in modo che richiedano certificati client e richiedono SSL sia per il canale di dati che per il canale di controllo.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.sslClientCertificates.clientCertificatePolicy:"CertRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.sslClientCertificates.useActiveDirectoryMapping:"False" /commit:apphost

Nota

È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. Questa operazione esegue il commit delle impostazioni di configurazione nella sezione percorso appropriata nel file di ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();

         ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
         if (siteElement == null) throw new InvalidOperationException("Element not found!");

         ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");

         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
         sslElement["serverCertHash"] = @"57686f6120447564652c2049495320526f636b73";
         sslElement["controlChannelPolicy"] = @"SslRequire";
         sslElement["dataChannelPolicy"] = @"SslRequire";

         ConfigurationElement sslClientCertificatesElement = securityElement.GetChildElement("sslClientCertificates");
         sslClientCertificatesElement["clientCertificatePolicy"] = @"CertRequire";
         sslClientCertificatesElement["useActiveDirectoryMapping"] = false;

         serverManager.CommitChanges();
      }
   }
   
   private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")
      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")

      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
      sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      sslElement("controlChannelPolicy") = "SslRequire"
      sslElement("dataChannelPolicy") = "SslRequire"

      Dim sslClientCertificatesElement As ConfigurationElement = securityElement.GetChildElement("sslClientCertificates")
      sslClientCertificatesElement("clientCertificatePolicy") = "CertRequire"
      sslClientCertificatesElement("useActiveDirectoryMapping") = False

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);

if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item(siteElementPos);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");

var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire";

var sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates");
sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire";
sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = false;

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))

If siteElementPos = -1 Then
Wscript.Echo "Element not found!"
WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")

Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire"

Set sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates")
sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire"
sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = False

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function