默认 FTP SSL 客户端证书设置 <sslClientCertificates>

项目
03/27/2024

概述

<sslClientCertificates> 元素指定 FTP 站点的 SSL 客户端证书选项。更具体地说，此元素包含以下属性，这些属性将在本主题的配置部分详细讨论：

clientCertificatePolicy 属性指定是允许、必须提供还是忽略客户端证书。
validationFlags 属性指定 FTP 站点用于检查证书吊销的行为。
revocationFreshnessTime 属性指定吊销列表有效的时间范围。
revocationUrlRetrievalTimeout 属性指定用于检索证书吊销信息的超时时间
useActiveDirectoryMapping 属性指定是否应允许对客户端证书进行 Active Directory 映射。注意：此属性与 <clientCertAuthentication> 元素结合使用，以使用 Active Directory 配置证书映射。

兼容性

版本	说明
IIS 10.0	`<sslClientCertificates>` 元素在 IIS 10.0 中未进行修改。
IIS 8.5	`<sslClientCertificates>` 元素在 IIS 8.5 中未进行修改。
IIS 8.0	`<sslClientCertificates>` 元素在 IIS 8.0 中未进行修改。
IIS 7.5	`<security>` 元素的 `<sslClientCertificates>` 元素作为 IIS 7.5 的功能提供。
IIS 7.0	`<security>` 元素的 `<sslClientCertificates>` 元素是在 IIS 7.0 的独立下载项 FTP 7.0 中引入的。
IIS 6.0	`<ftpServer>` 元素及其子元素替换位于 LM/MSFTPSVC 元数据库路径中的 IIS 6.0 FTP 设置。

注意

FTP 7.0 和 FTP 7.5 服务是 IIS 7.0 带外提供的，需要从以下 URL 下载和安装模块：

https://www.iis.net/expand/FTP

在 Windows 7 和 Windows Server 2008 R2 中，FTP 7.5 服务作为 IIS 7.5 的功能提供，因此无需再下载 FTP 服务。

安装

若要支持 Web 服务器的 FTP 发布，必须安装 FTP 服务。为此，请按照以下步骤操作。

Windows Server 2012 或 Windows Server 2012 R2

在任务栏上，单击 “服务器管理器”。
在“服务器管理器”中，单击“管理”菜单，然后单击“添加角色和功能”。
在“添加角色和功能”向导中，单击“下一步”。选择安装类型，然后单击“下一步”。选择目标服务器，然后单击“下一步”。
在“服务器角色”页上，展开“Web 服务器 (IIS)”，然后选择“FTP 服务器”。

注意

若要支持 FTP 服务使用 ASP.Membership 身份验证或 IIS Manager 身份验证，除“FTP 服务”外还需选择“FTP 扩展性”。
。
单击“下一步”，然后在“选择功能”页上，再次单击“下一步”。
在“确认安装选择”页上，单击“安装”。
在“结果” 页面中单击“关闭” 。

Windows 8 或 Windows 8.1

在“开始”屏幕上，将指针一直移动到左下角，右键单击“开始”按钮，然后单击“控制面板”。
在“控制面板”中，单击“程序与功能”，然后单击“打开或关闭 Windows 功能”。
展开“Internet Information Services”，然后选择“FTP 服务器”。

注意

若要支持 FTP 服务使用 ASP.Membership 身份验证或 IIS 管理器身份验证，还需选择“FTP 扩展性”。
单击“确定”。
单击“关闭” 。

Windows Server 2008 R2

在任务栏上，单击“开始”，指向“管理工具”，然后单击“服务器管理器”。
在“服务器管理器”层次结构窗格中，展开“角色”，然后单击“Web 服务器(IIS)”。
在“Web 服务器 (IIS)”窗格中，滚动到“角色服务”部分，然后单击“添加角色服务”。
在“添加角色服务向导”的“选择角色服务”页，展开“FTP 服务器”。
选择“FTP 服务”。

注意

若要支持 FTP 服务使用 ASP.Membership 身份验证或 IIS 管理器身份验证，还需选择“FTP 扩展性”。
单击 “下一步” 。
在“确认安装选择”页中，单击“安装”。
在“结果” 页面中单击“关闭” 。

Windows 7

在任务栏上，单击“开始”，然后单击“控制面板”。
在“控制面板”中，单击“程序与功能”，然后单击“打开或关闭 Windows 功能”。
展开“Internet Information Services”，然后展开“FTP 服务器”。
选择“FTP 服务”。

注意

若要支持 FTP 服务使用 ASP.Membership 身份验证或 IIS 管理器身份验证，还需选择“FTP 扩展性”。
单击“确定”。

Windows Server 2008 或 Windows Vista

从以下 URL 下载安装包：
- https://www.iis.net/expand/FTP
按照以下演练中的说明安装 FTP 服务：
- 安装 FTP 7 及排查问题

操作方式

目前没有用户界面可用于配置 FTP 站点的客户端证书身份验证设置。有关如何配置 FTP 站点的客户端证书身份验证设置自定义功能的其他信息，请参阅本文档的“配置”以及“示例代码”部分。

配置

特性

属性说明

clientCertificatePolicy

可选的枚举属性。

指定客户端证书策略。

值	说明
`CertIgnore`	指定不会协商用于 SSL 会话的客户端证书。数值为 `0`。
`CertAllow`	指定允许客户端证书。如果客户端选择发送证书，则证书必须有效，服务器必须能够成功验证证书。数值为 `1`。
`CertRequire`	指定必须提供客户端证书。除非 FTP 客户端将有效的客户端证书发送到服务器，否则不允许它们进行连接。数值为 `2`。

默认值为 CertIgnore。

validationFlags

可选 flags 属性。

指定影响客户端证书验证的标志。

值	说明
`NoRevocationCheck`	指定将跳过证书吊销检查。警告：不建议跳过吊销验证。数值为 `1`。
`CertChainRevocationCheckCacheOnly`	指定吊销检查仅访问缓存的 URL。数值为 `2`。
`CertChainCacheOnlyUrlRetrieval`	仅指定生成证书链中的缓存 URL。 Internet 和 Intranet 不会搜索基于 URL 的对象。数值为 `4`。
`CertNoUsageCheck`	不检查客户端证书是否有使用情况标志。默认情况下启用使用情况检查，旨在确保只允许使用允许“客户端身份验证”的客户端证书。数值为 `8`。

没有默认值。

revocationFreshnessTime 可选的 timeSpan 属性。

指定吊销列表有效的时间范围。

默认值为 00:00:00。

revocationUrlRetrievalTimeout 可选的 timeSpan 属性。

指定用于检索证书吊销信息的超时时间。

默认值为 00:01:00。

useActiveDirectoryMapping 可选的 Boolean 属性。

如果应允许对客户端证书进行 Active Directory 映射，则为 true；否则为 false。 Active Directory 映射允许域用户使用在 Active Directory 中配置的客户端证书登录。

注意：此功能仅允许 SSL 层尝试将客户端证书映射到用户令牌；不会自动使用该令牌。 <clientCertAuthentication> 元素用于启用由 FTP 使用的映射令牌，而不是通过“USER”和“PASS”命令指定的凭据。

默认值为 false。

子元素

无。

配置示例

以下示例显示了默认 FTP 服务设置：数据通道和控制通道都必须提供 SSL 和客户端证书。

<siteDefaults>
 <ftpServer serverAutoStart="true">
   <security>
    <authentication>
     <anonymousAuthentication enabled="false" />
     <basicAuthentication enabled="true" />
    </authentication>
    <ssl serverCertHash="57686f6120447564652c2049495320526f636b73"
     controlChannelPolicy="SslRequire"
     dataChannelPolicy="SslRequire" />
    <sslClientCertificates clientCertificatePolicy="CertRequire"
     useActiveDirectoryMapping="false" />
   </security>
 </ftpServer>
</siteDefaults>

代码示例

以下示例配置默认 FTP 服务，让该服务要求客户端证书，并且要求数据通道和控制通道都使用 SSL。

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.clientCertificatePolicy:"CertRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.useActiveDirectoryMapping:"False" /commit:apphost

注意

使用 AppCmd.exe 配置这些设置时，必须确保将 commit 参数设置为 apphost。这会将配置设置提交到 ApplicationHost.config 文件中的相应位置部分。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
            sslElement["controlChannelPolicy"] = @"SslAllow";
            sslElement["dataChannelPolicy"] = @"SslAllow";
            sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";
         
         ConfigurationElement sslClientCertificatesElement = securityElement.GetChildElement("sslClientCertificates");
            sslClientCertificatesElement["clientCertificatePolicy"] = @"CertRequire";
            sslClientCertificatesElement["useActiveDirectoryMapping"] = false;

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
      Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
         sslElement("controlChannelPolicy") = "SslAllow"
         sslElement("dataChannelPolicy") = "SslAllow"
         sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"

      Dim sslClientCertificatesElement As ConfigurationElement = securityElement.GetChildElement("sslClientCertificates")
      sslClientCertificatesElement("clientCertificatePolicy") = "CertRequire"
      sslClientCertificatesElement("useActiveDirectoryMapping") = False
      
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";

var sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates");
   sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire";
   sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = false;

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"

   Set sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates")
      sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire"
      sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = False

adminManager.CommitChanges()

通过