다음을 통해 공유

SSL 설정 <ssl을 통한 기본 FTP>

  • 아티클

개요

요소는 <ssl> FTP 서비스에 대한 SSL(Secure Sockets Layer) 설정을 통해 FTP를 지정합니다. SSL을 통한 FTP는 FTP 7.0에서 IIS 7에 처음 도입되었습니다.

보안(HTTPS) 통신을 위해 별도의 포트 및 연결이 필요한 SSL을 통한 HTTP를 사용하는 것과 달리 보안 FTP 통신은 비보안 통신과 동일한 포트에서 발생합니다. FTP 7은 SSL을 통해 두 가지 형태의 FTP를 지원합니다.

  • 명시적 FTPS: 기본적으로 FTP 사이트 및 클라이언트는 제어 채널에 포트 21을 사용하고 서버와 클라이언트는 데이터 채널 연결을 위해 보조 포트를 협상합니다. 일반적인 FTP 요청에서 FTP 클라이언트는 제어 채널을 통해 FTP 사이트에 연결한 다음 클라이언트는 제어 채널 또는 데이터 채널에 대해 서버와 SSL/TLS를 협상할 수 있습니다. FTP 7을 사용하는 경우 FTPS를 사용하도록 설정하고 포트 990 이외의 포트에 FTP 사이트를 할당하는 경우 명시적 SSL을 사용합니다.
  • 암시적 FTPS: 암시적 FTPS는 FTP 7에서 계속 지원되는 SSL을 통한 이전 형태의 FTP입니다. 암시적 FTPS를 사용하면 클라이언트에서 FTP 명령을 보내려면 먼저 SSL 핸드셰이크를 협상해야 합니다. 또한 명시적 FTPS를 사용하면 클라이언트가 SSL을 사용할지 여부를 임의로 결정할 수 있지만 암시적 FTPS는 전체 FTP 세션을 암호화해야 합니다. FTP 7을 사용하는 경우 FTPS를 사용하도록 설정하고 FTP 사이트를 포트 990에 할당하는 경우 암시적 SSL을 사용합니다.

dataChannelPolicy 특성에서 controlChannelPolicy 구성하는 보안 옵션에 따라 FTP 클라이언트는 단일 명시적 FTPS 세션에서 보안과 비보안 간에 여러 번 전환할 수 있습니다. 비즈니스 요구 사항에 따라 구현할 수 있는 몇 가지 방법이 있습니다.

controlChannelPolicy dataChannelPolicy 참고
SslAllow SslAllow 이 구성을 사용하면 클라이언트가 FTP 세션의 일부를 암호화해야 하는지 여부를 결정할 수 있습니다.
SslRequireCredentialsOnly SslAllow 이 구성은 전자 도청으로부터 FTP 클라이언트 자격 증명을 보호하고 클라이언트가 데이터 전송을 암호화해야 하는지 여부를 결정할 수 있도록 합니다.
SslRequireCredentialsOnly SslRequire 이 구성을 사용하려면 클라이언트의 자격 증명이 안전해야 하며, 그러면 클라이언트가 FTP 명령을 암호화할지 여부를 결정할 수 있습니다. 그러나 모든 데이터 전송은 암호화되어야 합니다.
SslRequire SslRequire 이 구성은 가장 안전합니다. 클라이언트는 다른 FTP 명령이 허용되기 전에 FTPS 관련 명령을 사용하여 SSL을 협상해야 하며 모든 데이터 전송을 암호화해야 합니다.

호환성

버전 참고
IIS 10.0 <ssl> 요소가 IIS 10.0에서 수정되지 않았습니다.
IIS 8.5 <ssl> 요소가 IIS 8.5에서 수정되지 않았습니다.
IIS 8.0 <ssl> 요소가 IIS 8.0에서 수정되지 않았습니다.
IIS 7.5 <ssl> 요소의 <security> 요소는 IIS 7.5의 기능으로 제공됩니다.
IIS 7.0 <ssl> 요소의 <security> 요소는 IIS 7.0에 대한 별도의 다운로드인 FTP 7.0에서 도입되었습니다.
IIS 6.0 IIS 6.0의 FTP 서비스는 SSL을 통한 FTP를 지원하지 않았습니다.

참고

FTP 7.0 및 FTP 7.5 서비스는 IIS 7.0용 대역 외 서비스를 제공했으며, 다음 URL에서 모듈을 다운로드하고 설치해야 했습니다.

https://www.iis.net/expand/FTP

Windows 7 및 Windows Server 2008 R2에서는 FTP 7.5 서비스가 IIS 7.5의 기능으로 제공됩니다. 따라서 FTP 서비스를 더 이상 다운로드할 필요가 없습니다.

설치 프로그램

웹 서버에 대한 FTP 게시를 지원하려면 FTP 서비스를 설치해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.

Windows Server 2012 또는 Windows Server 2012 R2

  1. 작업 표시줄에서 서버 관리자를 클릭합니다.

  2. 서버 관리자관리 메뉴를 클릭한 다음 역할 및 기능 추가를 클릭합니다.

  3. 역할 및 기능 추가 마법사에서 다음을 클릭합니다. 설치 유형을 선택하고 다음을 클릭합니다. 대상 서버를 선택하고 다음을 클릭합니다.

  4. 서버 역할 페이지에서 웹 서버(IIS)를 확장한 다음 FTP 서버를 선택합니다.

    참고

    ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증은 FTP 서비스 외에도 FTP 확장성을 선택해야 합니다.
    Windows Server 2012에 대해 선택된 FTP 확장성을 보여 주는 스크린샷 .

  5. 다음을 클릭한 다음 기능 선택 페이지에서 다음을 다시 클릭합니다.

  6. 설치 선택 확인 페이지에서 설치를 클릭합니다.

  7. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows 8 또는 Windows 8.1

  1. 시작 화면에서 포인터를 왼쪽 아래 모서리로 이동하고 시작 단추를 마우스 오른쪽 단추로 클릭한 다음 제어판 클릭합니다.

  2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.

  3. 인터넷 정보 서비스를 확장한 다음 FTP 서버를 선택합니다.

    참고

    ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
    Windows 8에 대해 선택된 F TP 확장성을 보여 주는 스크린샷

  4. 확인을 클릭합니다.

  5. 닫기를 클릭합니다.

Windows Server 2008 R2

  1. 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자 클릭합니다.

  2. 서버 관리자 계층 창에서 역할을 확장한 다음 웹 서버(IIS)를 클릭합니다.

  3. 웹 서버(IIS) 창에서 역할 서비스 섹션으로 스크롤한 다음 역할 서비스 추가를 클릭합니다.

  4. 역할 서비스 추가 마법사역할 서비스 선택 페이지에서 FTP 서버를 확장합니다.

  5. FTP 서비스를 선택합니다.

    참고

    ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
    Windows Server 2008에 대해 선택된 FT P 서비스 및 확장성을 보여 주는 스크린샷

  6. 다음을 클릭합니다.

  7. 설치 선택 확인 페이지에서 설치를 클릭합니다.

  8. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows 7

  1. 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.

  2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.

  3. 인터넷 정보 서비스를 확장한 다음 FTP 서버를 확장합니다.

  4. FTP 서비스를 선택합니다.

    참고

    ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
    Windows 7에 대해 선택된 F TP 확장성을 보여 주는 스크린샷

  5. 확인을 클릭합니다.

Windows Server 2008 또는 Windows Vista

  1. 다음 URL에서 설치 패키지를 다운로드합니다.

  2. 다음 연습의 지침에 따라 FTP 서비스를 설치합니다.

방법

FTP 서버에 대한 기본 SSL 옵션을 구성하는 방법

  1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

    • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

      • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows 8 또는 Windows 8.1 사용하는 경우:

      • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
      • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

    • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows Vista 또는 Windows 7을 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
      • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

  2. 연결 창에서 서버 이름을 클릭합니다.

  3. 서버의 창에서 FTP SSL 설정 기능을 두 번 클릭합니다.
    선택한 F TP SSL 설정을 보여 주는 스크린샷

  4. SSL 인증서 목록에서 FTP 서버에 연결하는 데 사용할 인증서를 선택합니다.
    F T P SSL 설정 창을 보여 주는 스크린샷 SL 연결 허용이 선택되었습니다.

  5. SSL 정책에서 다음 옵션 중 하나를 선택합니다.

    • SSL 연결 허용: FTP 서버가 클라이언트와의 비 SSL 및 SSL 연결을 모두 지원할 수 있도록 허용합니다.

    • SSL 연결 필요: FTP 서버와 클라이언트 간의 통신을 위해 SSL 암호화가 필요합니다.

    • 사용자 지정: 컨트롤 채널 및 데이터 채널에 대해 다른 SSL 암호화 정책을 구성할 수 있습니다. 이 옵션을 선택하는 경우 고급... 단추를 클릭합니다. 고급 SSL 정책 대화 상자가 열리면 다음 옵션을 선택합니다.

      • 제어 채널에서 제어 채널을 통해 SSL 암호화에 대한 다음 옵션 중 하나를 선택합니다.

        • 허용: 컨트롤 채널에 대해 SSL이 허용되도록 지정합니다. FTP 클라이언트는 제어 채널에 SSL을 사용할 수 있지만 필수는 아닙니다.
        • 필요: 제어 채널에 SSL이 필요하도록 지정합니다. FTP 클라이언트는 제어 채널에 대한 비안전 통신 모드로 전환할 수 없습니다.
        • 자격 증명에만 필요: SSL 세션을 통해 사용자 자격 증명만 전송하도록 지정합니다. FTP 클라이언트는 사용자 이름 및 암호에 SSL을 사용해야 하지만 클라이언트는 로그인한 후 제어 채널에 SSL을 사용할 필요가 없습니다.

      • 데이터 채널에서 데이터 채널을 통해 SSL 암호화에 대한 다음 옵션 중 하나를 선택합니다.

        • 허용: 데이터 채널에 대해 SSL이 허용됩니다. FTP 클라이언트는 데이터 채널에 SSL을 사용할 수 있지만 필수는 아닙니다.
        • 필요: 데이터 채널에 SSL이 필요합니다. FTP 클라이언트는 데이터 채널에 대한 비안전 통신 모드로 전환할 수 없습니다.
        • 거부: 데이터 채널에 대해 SSL이 거부되었습니다. FTP 클라이언트는 데이터 채널에 SSL을 사용할 수 없습니다.

      • 확인을 클릭하여 고급 SSL 정책 대화 상자를 닫습니다.

  6. 작업 창에서 적용을 클릭합니다.

구성

특성

attribute Description
controlChannelPolicy 선택적 열거형 특성입니다.

FTP 제어 채널에 대한 SSL 정책을 지정합니다.

참고: 명령 채널에 대해 SSL을 거부하는 열거형 값은 없습니다. SSL을 거부하려면 특성에 인증서 해시 serverCertHash 를 지정하여 SSL 인증서를 FTP 사이트에 바인딩하지 마세요.
Description
SslAllow 제어 채널에 대해 SSL이 허용되도록 지정합니다.

숫자 값은 입니다 0.
SslRequire 제어 채널에 SSL이 필요하게 지정합니다.

숫자 값은 입니다 1.
SslRequireCredentialsOnly SSL 세션을 통해 "USER" 및 "PASS" 명령만 전송하도록 지정합니다. FTP 클라이언트가 로그인한 후 클라이언트는 비안전 모드로 전환할 수 있습니다.

숫자 값은 입니다 2.
기본값은 SslRequire입니다.
dataChannelPolicy 선택적 열거형 특성입니다.

FTP 데이터 채널에 대한 SSL 정책을 지정합니다.
Description
SslAllow 데이터 채널에 대해 SSL이 허용되도록 지정합니다.

숫자 값은 입니다 0.
SslRequire 데이터 채널에 SSL이 필요하게 지정합니다.

숫자 값은 입니다 1.
SslDeny 데이터 채널에 대해 SSL이 거부되도록 지정합니다.

숫자 값은 입니다 2.
기본값은 SslRequire입니다.
serverCertHash 선택적 문자열 특성입니다.

SSL 연결에 사용할 서버 쪽 인증서의 지문 해시를 지정합니다.

기본값은 없습니다.
serverCertStoreName 선택적 문자열 특성입니다.

서버 SSL 인증서에 대한 인증서 저장소를 지정합니다.

기본값은 MY입니다.
ssl128 선택적 부울 특성입니다.

128비트 SSL이 필요한지 여부를 지정합니다.

기본값은 false입니다.

자식 요소

없음

구성 샘플

다음 구성 샘플에서는 기본적으로 FTP 서비스의 제어 채널 및 데이터 채널에서 SSL 액세스를 사용하도록 설정하는 방법을 설명합니다.

SSL 구성 예제(temp desc).

<siteDefaults>
   <ftpServer>
      <security>
         <ssl controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" serverCertHash="57686f6120447564652c2049495320526f636b73"/>
      </security>
   </ftpServer>
</siteDefaults>

샘플 코드

다음 샘플에서는 기본적으로 FTP 서비스의 제어 채널 및 데이터 채널에서 SSL 액세스를 사용하도록 설정하는 방법을 설명합니다.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost

참고

AppCmd.exe 사용하여 이러한 설정을 구성할 때 커밋 매개 변수 apphost 를 로 설정해야 합니다. 그러면 구성 설정이 ApplicationHost.config 파일의 적절한 위치 섹션에 커밋됩니다.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
            sslElement["controlChannelPolicy"] = @"SslAllow";
            sslElement["dataChannelPolicy"] = @"SslAllow";
            sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
      Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
         sslElement("controlChannelPolicy") = "SslAllow"
         sslElement("dataChannelPolicy") = "SslAllow"
         sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"

adminManager.CommitChanges()