다음을 통해 공유


FTP SSL 클라이언트 인증서 <sslClientCertificates>

개요

요소는 <sslClientCertificates> FTP 사이트에 대한 SSL 클라이언트 인증서 옵션을 지정합니다. 보다 구체적으로 이 요소에는 이 항목의 구성 섹션에서 자세히 설명하는 다음 특성이 포함되어 있습니다.

  • 특성은 clientCertificatePolicy 클라이언트 인증서를 허용, 필수 또는 무시할지 여부를 지정합니다.
  • 특성은 validationFlags 인증서 해지를 확인하기 위한 FTP 사이트의 동작을 지정합니다.
  • 특성은 revocationFreshnessTime 해지 목록이 유효한 시간을 지정합니다.
  • 특성은 revocationUrlRetrievalTimeout 인증서 해지 정보를 검색하기 위한 시간 초과를 지정합니다.
  • 특성은 useActiveDirectoryMapping 클라이언트 인증서에 대해 Active Directory 매핑을 허용할지 여부를 지정합니다. 참고: 이 특성은 Active Directory를 사용하여 인증서 매핑을 <clientCertAuthentication> 구성하기 위해 요소와 함께 사용됩니다.

호환성

버전 참고
IIS 10.0 <sslClientCertificates> 요소가 IIS 10.0에서 수정되지 않았습니다.
IIS 8.5 <sslClientCertificates> 요소가 IIS 8.5에서 수정되지 않았습니다.
IIS 8.0 <sslClientCertificates> 요소가 IIS 8.0에서 수정되지 않았습니다.
IIS 7.5 <sslClientCertificates> 요소의 <security> 요소는 IIS 7.5의 기능으로 제공됩니다.
IIS 7.0 <sslClientCertificates> 요소의 <security> 요소는 IIS 7.0에 대한 별도의 다운로드인 FTP 7.0에서 도입되었습니다.
IIS 6.0 <ftpServer> 요소와 해당 자식 요소는 LM/MSFTPSVC 메타베이스 경로에 있던 IIS 6.0 FTP 설정을 대체합니다.

참고

FTP 7.0 및 FTP 7.5 서비스는 IIS 7.0용 대역 외 서비스를 제공했으며, 다음 URL에서 모듈을 다운로드하고 설치해야 했습니다.

https://www.iis.net/expand/FTP

Windows 7 및 Windows Server 2008 R2에서는 FTP 7.5 서비스가 IIS 7.5의 기능으로 제공됩니다. 따라서 FTP 서비스를 더 이상 다운로드할 필요가 없습니다.

설치 프로그램

웹 서버에 대한 FTP 게시를 지원하려면 FTP 서비스를 설치해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.

Windows Server 2012 또는 Windows Server 2012 R2

  1. 작업 표시줄에서 서버 관리자를 클릭합니다.

  2. 서버 관리자관리 메뉴를 클릭한 다음 역할 및 기능 추가를 클릭합니다.

  3. 역할 및 기능 추가 마법사에서 다음을 클릭합니다. 설치 유형을 선택하고 다음을 클릭합니다. 대상 서버를 선택하고 다음을 클릭합니다.

  4. 서버 역할 페이지에서 웹 서버(IIS)를 확장한 다음 FTP 서버를 선택합니다.

    참고

    ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증은 FTP 서비스 외에도 FTP 확장성을 선택해야 합니다.
    FTP 확장성이 선택된 웹 서버 I S 창의 스크린샷 .

  5. 다음을 클릭한 다음 기능 선택 페이지에서 다음을 다시 클릭합니다.

  6. 설치 선택 확인 페이지에서 설치를 클릭합니다.

  7. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows 8 또는 Windows 8.1

  1. 시작 화면에서 포인터를 왼쪽 아래 모서리로 이동하고 시작 단추를 마우스 오른쪽 단추로 클릭한 다음 제어판 클릭합니다.

  2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.

  3. 인터넷 정보 서비스를 확장한 다음 FTP 서버를 선택합니다.

    참고

    ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
    FTP 확장성을 선택한 상태에서 확장된 인터넷 정보 서비스 및 FT P 서버 창의 이미지

  4. 확인을 클릭합니다.

  5. 닫기를 클릭합니다.

Windows Server 2008 R2

  1. 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자 클릭합니다.

  2. 서버 관리자 계층 창에서 역할을 확장한 다음 웹 서버(IIS)를 클릭합니다.

  3. 웹 서버(IIS) 창에서 역할 서비스 섹션으로 스크롤한 다음 역할 서비스 추가를 클릭합니다.

  4. 역할 서비스 추가 마법사역할 서비스 선택 페이지에서 FTP 서버를 확장합니다.

  5. FTP 서비스를 선택합니다.

    참고

    ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
    FTP 서버 창이 확장되고 FTP 서비스가 선택된 역할 서비스 추가 마법사의 역할 서비스 선택 페이지의 스크린샷

  6. 다음을 클릭합니다.

  7. 설치 선택 확인 페이지에서 설치를 클릭합니다.

  8. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows 7

  1. 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.

  2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.

  3. 인터넷 정보 서비스를 확장한 다음 FTP 서버를 확장합니다.

  4. FTP 서비스를 선택합니다.

    참고

    ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
    선택한 FTP 확장성을 표시하는 인터넷 정보 서비스 및 FTP 서버 창의 이미지가 확장되었습니다.

  5. 확인을 클릭합니다.

Windows Server 2008 또는 Windows Vista

  1. 다음 URL에서 설치 패키지를 다운로드합니다.

  2. 다음 연습의 지침에 따라 FTP 서비스를 설치합니다.

방법

현재 FTP 사이트에 대한 클라이언트 인증서 인증 설정을 구성할 수 있는 사용자 인터페이스가 없습니다. FTP 사이트에 대한 클라이언트 인증서 인증 설정 사용자 지정 기능을 구성하는 방법에 대한 자세한 내용은 이 문서의 구성샘플 코드 섹션을 참조하세요.

구성

<sslClientCertificates> 요소는 사이트 수준에서 구성됩니다.

특성

attribute Description
clientCertificatePolicy 선택적 열거형 특성입니다.

클라이언트 인증서 정책을 지정합니다.
Description
CertIgnore 클라이언트 인증서가 SSL 세션에 대해 협상되지 않도록 지정합니다.

숫자 값은 입니다 0.
CertAllow 클라이언트 인증서가 허용되도록 지정합니다. 클라이언트가 인증서를 보내도록 선택하는 경우 인증서가 유효해야 하며 서버에서 인증서의 유효성을 성공적으로 검사할 수 있어야 합니다.

숫자 값은 입니다 1.
CertRequire 클라이언트 인증서가 필요하게 되도록 지정합니다. FTP 클라이언트는 서버에 유효한 클라이언트 인증서를 보내지 않는 한 연결할 수 없습니다.

숫자 값은 입니다 2.
기본값은 CertIgnore입니다.
validationFlags 선택적 flags 특성입니다.

클라이언트 인증서 유효성 검사에 영향을 주는 플래그를 지정합니다.
Description
NoRevocationCheck

인증서 해지 검사를 건너뛰게 되도록 지정합니다.

경고: 해지 유효성 검사를 건너뛰지 않는 것이 좋습니다.

숫자 값은 입니다 1.

CertChainRevocationCheckCacheOnly 해지 확인이 캐시된 URL에만 액세스되도록 지정합니다.

숫자 값은 입니다 2.
CertChainCacheOnlyUrlRetrieval 인증서 체인을 빌드할 때 캐시된 URL만 지정합니다. 인터넷 및 인트라넷은 URL 기반 개체를 검색하지 않습니다.

숫자 값은 입니다 4.
CertNoUsageCheck 사용 플래그에 대한 클라이언트 인증서를 검사 않습니다. 사용량 검사 기본적으로 사용하도록 설정되며 "클라이언트 인증"을 허용하는 클라이언트 인증서만 허용되도록 하기 위한 것입니다.

숫자 값은 입니다 8.
기본값은 없습니다.
revocationFreshnessTime 선택적 timeSpan 특성입니다.

해지 목록이 유효한 시간을 지정합니다.

기본값은 00:00:00입니다.
revocationUrlRetrievalTimeout 선택적 timeSpan 특성입니다.

인증서 해지 정보를 검색하기 위한 시간 제한을 지정합니다.

기본값은 00:01:00입니다.
useActiveDirectoryMapping 선택적 부울 특성입니다.

클라이언트 인증서에 대해 Active Directory 매핑을 허용해야 하는 경우 true이고, 그렇지 않으면 false입니다. Active Directory 매핑을 사용하면 도메인 사용자가 Active Directory에 구성된 클라이언트 인증서를 사용하여 로그온할 수 있습니다.

참고: 이 기능을 사용하면 SSL 계층이 클라이언트 인증서를 사용자 토큰에 매핑하려고 시도할 수 있습니다. 토큰은 자동으로 사용되지 않습니다. 요소는 <clientCertAuthentication> "USER" 및 "PASS" 명령을 통해 지정된 자격 증명 대신 FTP에서 매핑된 토큰을 사용하도록 설정하는 데 사용됩니다.

기본값은 false입니다.

자식 요소

없음

구성 샘플

다음 샘플에서는 데이터 채널과 제어 채널 모두에 대해 SSL 및 클라이언트 인증서가 필요한 FTP 사이트를 표시합니다.

<site name="ftp.example.com" id="5">
   <application path="/">
      <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
   </application>
   <bindings>
      <binding protocol="ftp" bindingInformation="*:21:" />
   </bindings>
   <ftpServer serverAutoStart="true">
      <security>
         <authentication>
            <anonymousAuthentication enabled="false" />
            <basicAuthentication enabled="true" />
         </authentication>
         <ssl serverCertHash="57686f6120447564652c2049495320526f636b73"
            controlChannelPolicy="SslRequire"
            dataChannelPolicy="SslRequire" />
         <sslClientCertificates clientCertificatePolicy="CertRequire"
            useActiveDirectoryMapping="false" />
      </security>
   </ftpServer>
</site>

샘플 코드

다음 예제에서는 클라이언트 인증서가 필요하고 데이터 채널과 제어 채널 모두에 대해 SSL이 필요하도록 FTP 사이트를 구성합니다.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.sslClientCertificates.clientCertificatePolicy:"CertRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.sslClientCertificates.useActiveDirectoryMapping:"False" /commit:apphost

참고

AppCmd.exe 사용하여 이러한 설정을 구성할 때 커밋 매개 변수 apphost 를 로 설정해야 합니다. 그러면 구성 설정이 ApplicationHost.config 파일의 적절한 위치 섹션에 커밋됩니다.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();

         ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
         if (siteElement == null) throw new InvalidOperationException("Element not found!");

         ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");

         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
         sslElement["serverCertHash"] = @"57686f6120447564652c2049495320526f636b73";
         sslElement["controlChannelPolicy"] = @"SslRequire";
         sslElement["dataChannelPolicy"] = @"SslRequire";

         ConfigurationElement sslClientCertificatesElement = securityElement.GetChildElement("sslClientCertificates");
         sslClientCertificatesElement["clientCertificatePolicy"] = @"CertRequire";
         sslClientCertificatesElement["useActiveDirectoryMapping"] = false;

         serverManager.CommitChanges();
      }
   }
   
   private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")
      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")

      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
      sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      sslElement("controlChannelPolicy") = "SslRequire"
      sslElement("dataChannelPolicy") = "SslRequire"

      Dim sslClientCertificatesElement As ConfigurationElement = securityElement.GetChildElement("sslClientCertificates")
      sslClientCertificatesElement("clientCertificatePolicy") = "CertRequire"
      sslClientCertificatesElement("useActiveDirectoryMapping") = False

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);

if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item(siteElementPos);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");

var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire";

var sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates");
sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire";
sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = false;

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))

If siteElementPos = -1 Then
Wscript.Echo "Element not found!"
WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")

Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire"

Set sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates")
sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire"
sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = False

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function