기본 FTP SSL 클라이언트 인증서 설정 <sslClientCertificates>
개요
요소는 <sslClientCertificates> FTP 사이트에 대한 SSL 클라이언트 인증서 옵션을 지정합니다. 보다 구체적으로 이 요소에는 이 항목의 구성 섹션에서 자세히 설명하는 다음 특성이 포함되어 있습니다.
- 특성은
clientCertificatePolicy클라이언트 인증서를 허용, 필수 또는 무시할지 여부를 지정합니다. - 특성은
validationFlags인증서 해지를 확인하기 위한 FTP 사이트의 동작을 지정합니다. - 특성은
revocationFreshnessTime해지 목록이 유효한 시간을 지정합니다. - 특성은
revocationUrlRetrievalTimeout인증서 해지 정보를 검색하기 위한 시간 초과를 지정합니다. - 특성은
useActiveDirectoryMapping클라이언트 인증서에 대해 Active Directory 매핑을 허용할지 여부를 지정합니다. 참고: 이 특성은 Active Directory를 사용하여 인증서 매핑을<clientCertAuthentication>구성하기 위해 요소와 함께 사용됩니다.
호환성
| 버전 | 참고 |
|---|---|
| IIS 10.0 | <sslClientCertificates> 요소가 IIS 10.0에서 수정되지 않았습니다. |
| IIS 8.5 | <sslClientCertificates> 요소가 IIS 8.5에서 수정되지 않았습니다. |
| IIS 8.0 | <sslClientCertificates> 요소가 IIS 8.0에서 수정되지 않았습니다. |
| IIS 7.5 | <sslClientCertificates> 요소의 <security> 요소는 IIS 7.5의 기능으로 제공됩니다. |
| IIS 7.0 | <sslClientCertificates> 요소의 <security> 요소는 IIS 7.0에 대한 별도의 다운로드인 FTP 7.0에서 도입되었습니다. |
| IIS 6.0 | <ftpServer> 요소와 해당 자식 요소는 LM/MSFTPSVC 메타베이스 경로에 있던 IIS 6.0 FTP 설정을 대체합니다. |
참고
FTP 7.0 및 FTP 7.5 서비스는 IIS 7.0용 대역 외 서비스를 제공했으며, 다음 URL에서 모듈을 다운로드하고 설치해야 했습니다.
Windows 7 및 Windows Server 2008 R2에서는 FTP 7.5 서비스가 IIS 7.5의 기능으로 제공됩니다. 따라서 FTP 서비스를 더 이상 다운로드할 필요가 없습니다.
설치 프로그램
웹 서버에 대한 FTP 게시를 지원하려면 FTP 서비스를 설치해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.
Windows Server 2012 또는 Windows Server 2012 R2
작업 표시줄에서 서버 관리자를 클릭합니다.
서버 관리자관리 메뉴를 클릭한 다음 역할 및 기능 추가를 클릭합니다.
역할 및 기능 추가 마법사에서 다음을 클릭합니다. 설치 유형을 선택하고 다음을 클릭합니다. 대상 서버를 선택하고 다음을 클릭합니다.
서버 역할 페이지에서 웹 서버(IIS)를 확장한 다음 FTP 서버를 선택합니다.
참고
ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증은 FTP 서비스 외에도 FTP 확장성을 선택해야 합니다.
.다음을 클릭한 다음 기능 선택 페이지에서 다음을 다시 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다.
Results(결과) 페이지에서 Close(닫기)를 클릭합니다.
Windows 8 또는 Windows 8.1
시작 화면에서 포인터를 왼쪽 아래 모서리로 이동하고 시작 단추를 마우스 오른쪽 단추로 클릭한 다음 제어판 클릭합니다.
제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
인터넷 정보 서비스를 확장한 다음 FTP 서버를 선택합니다.
참고
ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
확인을 클릭합니다.
닫기를 클릭합니다.
Windows Server 2008 R2
작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자 클릭합니다.
서버 관리자 계층 창에서 역할을 확장한 다음 웹 서버(IIS)를 클릭합니다.
웹 서버(IIS) 창에서 역할 서비스 섹션으로 스크롤한 다음 역할 서비스 추가를 클릭합니다.
역할 서비스 추가 마법사의 역할 서비스 선택 페이지에서 FTP 서버를 확장합니다.
FTP 서비스를 선택합니다.
참고
ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
다음을 클릭합니다.
설치 선택 확인 페이지에서 설치를 클릭합니다.
Results(결과) 페이지에서 Close(닫기)를 클릭합니다.
Windows 7
작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
인터넷 정보 서비스를 확장한 다음 FTP 서버를 확장합니다.
FTP 서비스를 선택합니다.
참고
ASP를 지원합니다. FTP 서비스에 대한 멤버 자격 인증 또는 IIS 관리자 인증도 FTP 확장성을 선택해야 합니다.
확인을 클릭합니다.
Windows Server 2008 또는 Windows Vista
다음 URL에서 설치 패키지를 다운로드합니다.
다음 연습의 지침에 따라 FTP 서비스를 설치합니다.
방법
현재 FTP 사이트에 대한 클라이언트 인증서 인증 설정을 구성할 수 있는 사용자 인터페이스가 없습니다. FTP 사이트에 대한 클라이언트 인증서 인증 설정 사용자 지정 기능을 구성하는 방법에 대한 자세한 내용은 이 문서의 구성 및 샘플 코드 섹션을 참조하세요.
구성
특성
| attribute | Description | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
clientCertificatePolicy |
선택적 열거형 특성입니다. 클라이언트 인증서 정책을 지정합니다.
CertIgnore입니다. |
||||||||||
validationFlags |
선택적 flags 특성입니다. 클라이언트 인증서 유효성 검사에 영향을 주는 플래그를 지정합니다.
|
||||||||||
revocationFreshnessTime |
선택적 timeSpan 특성입니다. 해지 목록이 유효한 시간을 지정합니다. 기본값은 00:00:00입니다. |
||||||||||
revocationUrlRetrievalTimeout |
선택적 timeSpan 특성입니다. 인증서 해지 정보를 검색하기 위한 시간 제한을 지정합니다. 기본값은 00:01:00입니다. |
||||||||||
useActiveDirectoryMapping |
선택적 부울 특성입니다. 클라이언트 인증서에 대해 Active Directory 매핑을 허용해야 하는 경우 true이고, 그렇지 않으면 false입니다. Active Directory 매핑을 사용하면 도메인 사용자가 Active Directory에 구성된 클라이언트 인증서를 사용하여 로그온할 수 있습니다. 참고: 이 기능을 사용하면 SSL 계층이 클라이언트 인증서를 사용자 토큰에 매핑하려고 시도할 수 있습니다. 토큰은 자동으로 사용되지 않습니다. 요소는 <clientCertAuthentication> "USER" 및 "PASS" 명령을 통해 지정된 자격 증명 대신 FTP에서 매핑된 토큰을 사용하도록 설정하는 데 사용됩니다.기본값은 false입니다. |
자식 요소
없음
구성 샘플
다음 샘플에서는 데이터 채널과 제어 채널 모두에 대해 SSL 및 클라이언트 인증서가 필요한 기본 FTP 서비스 설정을 표시합니다.
<siteDefaults>
<ftpServer serverAutoStart="true">
<security>
<authentication>
<anonymousAuthentication enabled="false" />
<basicAuthentication enabled="true" />
</authentication>
<ssl serverCertHash="57686f6120447564652c2049495320526f636b73"
controlChannelPolicy="SslRequire"
dataChannelPolicy="SslRequire" />
<sslClientCertificates clientCertificatePolicy="CertRequire"
useActiveDirectoryMapping="false" />
</security>
</ftpServer>
</siteDefaults>
샘플 코드
다음 예제에서는 클라이언트 인증서가 필요하고 데이터 채널과 제어 채널 모두에 대해 SSL이 필요하도록 기본 FTP 서비스를 구성합니다.
AppCmd.exe
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.clientCertificatePolicy:"CertRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.useActiveDirectoryMapping:"False" /commit:apphost
참고
AppCmd.exe 사용하여 이러한 설정을 구성할 때 커밋 매개 변수 apphost 를 로 설정해야 합니다. 그러면 구성 설정이 ApplicationHost.config 파일의 적절한 위치 섹션에 커밋됩니다.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");
ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
sslElement["controlChannelPolicy"] = @"SslAllow";
sslElement["dataChannelPolicy"] = @"SslAllow";
sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";
ConfigurationElement sslClientCertificatesElement = securityElement.GetChildElement("sslClientCertificates");
sslClientCertificatesElement["clientCertificatePolicy"] = @"CertRequire";
sslClientCertificatesElement["useActiveDirectoryMapping"] = false;
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")
Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
sslElement("controlChannelPolicy") = "SslAllow"
sslElement("dataChannelPolicy") = "SslAllow"
sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
Dim sslClientCertificatesElement As ConfigurationElement = securityElement.GetChildElement("sslClientCertificates")
sslClientCertificatesElement("clientCertificatePolicy") = "CertRequire"
sslClientCertificatesElement("useActiveDirectoryMapping") = False
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
var sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates");
sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire";
sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = false;
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
Set sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates")
sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire"
sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = False
adminManager.CommitChanges()