預設 FTP 用戶端憑證驗證設定 < clientCertAuthentication>

發行項
07/19/2023

概觀

元素 <clientCertAuthentication> 會指定用戶端憑證驗證的設定。這個形式的安全通訊端層 (SSL) 驗證是在 FTP 7 中引進，並使用用戶端憑證來驗證 FTP 用戶端，方法是對應至用戶端憑證 Windows 使用者帳戶。

用戶端憑證驗證具有下列相依性：

<ssl>針對專案：
- 屬性 serverCertHash 必須設定為有效的憑證雜湊。
- controlChannelPolicy和 dataChannelPolicy 屬性必須設定為允許 SSL。
<sslClientCertificates>針對專案：
- 屬性 clientCertificatePolicy 必須設定為允許 SSL 憑證。
- 屬性 useActiveDirectoryMapping 必須設定為 true。

注意

FTP 服務會要求 Active Directory 驗證用戶端憑證，但 Active Directory 的驗證與 FTP 服務無關。

相容性

版本	備註
IIS 10.0	在 `<clientCertAuthentication>` IIS 10.0 中未修改專案。
IIS 8.5	未 `<clientCertAuthentication>` 在 IIS 8.5 中修改專案。
IIS 8.0	在 IIS 8.0 中未修改專案 `<clientCertAuthentication>` 。
IIS 7.5	元素 `<clientCertAuthentication>` 的 `<authentication>` 元素會隨附為 IIS 7.5 的功能。
IIS 7.0	元素 `<clientCertAuthentication>` 的 `<authentication>` 元素是在 FTP 7.0 中引進，這是 IIS 7.0 的個別下載。
IIS 6.0	元素 `<ftpServer>` 及其子項目會取代位於 LM/MSFTPSVC 中繼基底路徑中的 IIS 6.0 FTP 設定。

注意

FTP 7.0 和 FTP 7.5 服務針對 IIS 7.0 隨附頻外，需要從下列 URL 下載並安裝模組：

https://www.iis.net/expand/FTP

使用 Windows 7 和 Windows Server 2008 R2 時，FTP 7.5 服務會隨附為 IIS 7.5 的功能，因此不再需要下載 FTP 服務。

安裝程式

若要支援 Web 服務器的 FTP 發佈，您必須安裝 FTP 服務。若要這樣做，請使用下列步驟。

Windows Server 2012 或 Windows Server 2012 R2

在工作列上，按一下 [伺服器管理員]。
在伺服器管理員中，按一下 [管理]功能表，然後按一下 [新增角色和功能]。
在 [ 新增角色和功能 精靈] 中，按 [下一步]。選取安裝類型，然後按 [ 下一步]。選取目的地伺服器，然後按 [ 下一步]。
在 [ 伺服器角色] 頁面上，展開 [Web 服務器] ([IIS) ]，然後選取 [ FTP 伺服器]。

注意

支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證，除了FTP 服務之外，您還需要選取FTP 擴充性。
.
按 [下一步]，然後在 [ 選取功能 ] 頁面上，再次按 [ 下一步 ]。
在 [確認安裝選項] 頁面上，按一下 [安裝]。
在 [結果] 頁面上，按一下 [關閉]。

Windows 8 或Windows 8.1

在 [開始] 畫面上，將指標全部移至左下角，以滑鼠右鍵按一下 [開始] 按鈕，然後按一下[主控台]。
在主控台中，按一下 [程式和功能]，然後按一下 [開啟或關閉 Windows 功能]。
展開 [Internet Information Services]，然後選取 [FTP 伺服器]。

注意

支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證，您也必須選取 [FTP 擴充性]。
按一下 [確定]。
按一下 [關閉] 。

Windows Server 2008 R2

在工作列上，按一下 [開始]，指向 [系統管理工具]，然後按一下[伺服器管理員]。
在[伺服器管理員階層] 窗格中，展開 [角色]，然後按一下 [Web 服務器] (IIS) 。
在 [Web 服務器 (IIS) ] 窗格中，捲動至 [ 角色服務 ] 區段，然後按一下 [ 新增角色服務]。
在 [新增角色服務精靈] 的 [選取角色服務] 頁面上，展開[FTP 伺服器]。
選取 [FTP 服務]。

注意

支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證，您也必須選取 [FTP 擴充性]。
按一下 [下一步] 。
在 [確認安裝選項] 頁面上，按一下 [安裝]。
在 [結果] 頁面上，按一下 [關閉]。

Windows 7

在工作列上，按一下 [開始]，然後按一下[主控台]。
在主控台中，按一下 [程式和功能]，然後按一下 [開啟或關閉 Windows 功能]。
展開 [Internet Information Services]，然後展開 [FTP 伺服器]。
選取 [FTP 服務]。

注意

支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證，您也必須選取 [FTP 擴充性]。
按一下 [確定]。

Windows Server 2008 或 Windows Vista

從下列 URL 下載安裝套件：
- https://www.iis.net/expand/FTP
請遵循下列逐步解說中的指示來安裝 FTP 服務：
- 安裝和疑難排解 FTP 7

作法

目前沒有任何使用者介面可讓您設定 FTP 網站的用戶端憑證驗證設定。如需如何設定 FTP 月臺的用戶端憑證驗證設定的詳細資訊，請參閱本檔的組態和 範例程式碼 一節。

組態

屬性

屬性	描述
`enabled`	選擇性 Boolean 屬性。如果已啟用用戶端憑證驗證，則為true;否則為false。預設值是 `false`。

子元素

無。

組態範例

下列組態範例會顯示預設啟用用戶端憑證驗證之伺服器的範例 <siteDefaults> 專案。

<siteDefaults>
   <ftpServer>
      <security>
         <ssl serverCertHash="57686f6120447564652c2049495320526f636b73" controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" />
         <sslClientCertificates clientCertificatePolicy="CertAllow" useActiveDirectoryMapping="true" />
         <authentication>
            <clientCertAuthentication enabled="true" />
         </authentication>
      </security>
   </ftpServer>
</siteDefaults>

範例程式碼

下列程式碼範例說明如何預設啟用用戶端憑證驗證。

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.authentication.clientCertAuthentication.enabled:"True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.clientCertificatePolicy:"CertIgnore" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.useActiveDirectoryMapping:"True" /commit:apphost

注意

當您使用AppCmd.exe設定這些設定時，請務必將認可參數 apphost 設定為。這會將組態設定認可至ApplicationHost.config檔案中適當的位置區段。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
            sslElement["controlChannelPolicy"] = @"SslAllow";
            sslElement["dataChannelPolicy"] = @"SslAllow";
            sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";		
         ConfigurationElement authenticationElement = securityElement.GetChildElement("authentication");
         ConfigurationElement clientCertAuthenticationElement = authenticationElement.GetChildElement("clientCertAuthentication");
            clientCertAuthenticationElement["enabled"] = true;		
         ConfigurationElement sslClientCertificatesElement = securityElement.GetChildElement("sslClientCertificates");
            sslClientCertificatesElement["clientCertificatePolicy"] = @"CertRequire";
            sslClientCertificatesElement["useActiveDirectoryMapping"] = true;

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
    Sub Main()
        Dim serverManager As ServerManager = New ServerManager
        Dim config As Configuration = serverManager.GetApplicationHostConfiguration
        Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
        Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
        Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

        Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
        Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
        sslElement("controlChannelPolicy") = "SslAllow"
        sslElement("dataChannelPolicy") = "SslAllow"
        sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"

        Dim authenticationElement As ConfigurationElement = securityElement.GetChildElement("authentication")
        Dim clientCertAuthenticationElement As ConfigurationElement = authenticationElement.GetChildElement("clientCertAuthentication")
        clientCertAuthenticationElement("enabled") = True

        Dim sslClientCertificatesElement As ConfigurationElement = securityElement.GetChildElement("sslClientCertificates")
        sslClientCertificatesElement("clientCertificatePolicy") = "CertIgnore"
        sslClientCertificatesElement("useActiveDirectoryMapping") = True

        serverManager.CommitChanges()
    End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
   
var authenticationElement = securityElement.ChildElements.Item("authentication");
var clientCertAuthenticationElement = authenticationElement.ChildElements.Item("clientCertAuthentication");
   clientCertAuthenticationElement.Properties.Item("enabled").Value = true;
   
var sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates");
   sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertIgnore";
   sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = true;

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
   
Set authenticationElement = securityElement.ChildElements.Item("authentication")
Set clientCertAuthenticationElement = authenticationElement.ChildElements.Item("clientCertAuthentication")
   clientCertAuthenticationElement.Properties.Item("enabled").Value = True
   
Set sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates")
   sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertIgnore"
   sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = True

adminManager.CommitChanges()

共用方式為