共用方式為

預設 FTP SSL 用戶端憑證設定 < sslClientCertificates>

  • 發行項

概觀

元素 <sslClientCertificates> 會指定 FTP 網站的 SSL 用戶端憑證選項。 更具體來說,此元素包含下列屬性,會在本主題的組態一節中詳細討論:

  • 屬性 clientCertificatePolicy 會指定是否允許、必要或忽略用戶端憑證。
  • 屬性 validationFlags 會指定 FTP 月臺的行為,以檢查憑證撤銷。
  • 屬性 revocationFreshnessTime 會指定撤銷清單有效的時間量。
  • 屬性 revocationUrlRetrievalTimeout 會指定擷取憑證撤銷資訊的逾時
  • 屬性 useActiveDirectoryMapping 會指定是否應該允許用戶端憑證使用 Active Directory 對應。 注意:這個屬性會與 元素搭配使用, <clientCertAuthentication> 以使用 Active Directory 來設定憑證對應。

相容性

版本 備註
IIS 10.0 未在 IIS 10.0 中修改專案 <sslClientCertificates>
IIS 8.5 未在 IIS 8.5 中修改專案 <sslClientCertificates>
IIS 8.0 未在 IIS 8.0 中修改專案 <sslClientCertificates>
IIS 7.5 元素 <sslClientCertificates><security> 元素隨附為 IIS 7.5 的功能。
IIS 7.0 元素 <sslClientCertificates><security> 元素是在 FTP 7.0 中引進,這是 IIS 7.0 的個別下載專案。
IIS 6.0 元素 <ftpServer> 及其子項目會取代位於 LM/MSFTPSVC 中繼基底路徑中的 IIS 6.0 FTP 設定。

注意

FTP 7.0 和 FTP 7.5 服務為 IIS 7.0 隨附頻外,需要從下列 URL 下載並安裝模組:

https://www.iis.net/expand/FTP

使用 Windows 7 和 Windows Server 2008 R2 時,FTP 7.5 服務隨附為 IIS 7.5 的功能,因此不再需要下載 FTP 服務。

安裝程式

若要支援 Web 服務器的 FTP 發佈,您必須安裝 FTP 服務。 若要這樣做,請使用下列步驟。

Windows Server 2012 或 Windows Server 2012 R2

  1. 在工作列上,按一下 [伺服器管理員]

  2. [伺服器管理員] 中,按一下 [管理] 功能表,然後按一下 [新增角色及功能]。

  3. 在 [ 新增角色及功能精 靈] 中,按 [ 下一步]。 選取安裝類型,然後按 [ 下一步]。 選取目的地伺服器,然後按 [ 下一步]。

  4. 在 [ 伺服器角色] 頁面上,展開 [ Web 服務器 (IIS) ],然後選取 [ FTP 伺服器]。

    注意

    支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證,除了FTP 服務之外,您還需要選取[FTP 擴充性]。
    已選取 F T P 擴充性和 F T P 服務的 F T P 伺服器影像。 .

  5. [下一步],然後在 [ 選取功能 ] 頁面上,再次按 [ 下一步 ]。

  6. 在 [確認安裝選項] 頁面上,按一下 [安裝]

  7. 在 [結果] 頁面上,按一下 [關閉]

Windows 8 或 Windows 8.1

  1. 在 [開始] 畫面上,將指標一路移至左下角,以滑鼠右鍵按一下 [開始] 按鈕,然後按一下[主控台]。

  2. 主控台中,按一下 [程式和功能],然後按一下 [開啟或關閉 Windows 功能]。

  3. 展開 [Internet Information Services],然後選取 [ FTP 伺服器]。

    注意

    支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證,您也必須選取 [FTP 擴充性]。
    已展開 [Internet Information Services] 節點的螢幕擷取畫面,並已選取 F T P 擴充性。

  4. 按一下 [確定]。

  5. 按一下 [關閉] 。

Windows Server 2008 R2

  1. 在工作列上,按一下 [開始],指向 [系統管理工具],然後按一下[伺服器管理員]。

  2. [伺服器管理員階層] 窗格中,展開 [角色],然後按一下 [Web 服務器] (IIS)

  3. 在 [ Web Server (IIS) ] 窗格中,捲動至 [ 角色服務 ] 區段,然後按一下 [ 新增角色服務]。

  4. 在 [新增角色服務精靈] 的 [選取角色服務] 頁面上,展開[FTP 伺服器]。

  5. 選取 [FTP 服務]。

    注意

    支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證,您也必須選取 [FTP 擴充性]。
    [新增角色服務精靈] 中 F T P 伺服器的影像,其中顯示已選取 F T P 服務。

  6. 按一下 [下一步] 。

  7. 在 [確認安裝選項] 頁面上,按一下 [安裝]

  8. 在 [結果] 頁面上,按一下 [關閉]

Windows 7

  1. 在工作列上,按一下 [開始],然後按一下[主控台]。

  2. 主控台中,按一下 [程式和功能],然後按一下[開啟或關閉 Windows 功能]。

  3. 展開 [Internet Information Services],然後展開 [ FTP 伺服器]。

  4. 選取 [FTP 服務]。

    注意

    支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證,您也必須選取 [FTP 擴充性]。
    [開啟或關閉視窗] 中 [開啟或關閉 Windows 功能] 中 F T P 伺服器節點的影像,其中已醒目提示 F T P 擴充性。

  5. 按一下 [確定]。

Windows Server 2008 或 Windows Vista

  1. 從下列 URL 下載安裝套件:

  2. 請遵循下列逐步解說中的指示來安裝 FTP 服務:

作法

目前沒有任何使用者介面可讓您設定 FTP 網站的用戶端憑證驗證設定。 如需如何將用戶端憑證驗證設定自訂功能設定至 FTP 月臺的其他資訊,請參閱本檔的組態和範例程式碼小節。

組態

屬性

屬性 描述
clientCertificatePolicy 選擇性列舉屬性。

指定用戶端憑證原則。
描述
CertIgnore 指定不會交涉 SSL 會話的用戶端憑證。

數值為 0
CertAllow 指定將允許用戶端憑證。 如果用戶端選擇傳送憑證,則憑證必須有效,而且伺服器必須能夠成功驗證憑證。

數值為 1
CertRequire 指定需要用戶端憑證。 除非 FTP 用戶端將有效的用戶端憑證傳送至伺服器,否則不允許連接 FTP 用戶端。

數值為 2
預設值是 CertIgnore
validationFlags 選擇性旗標屬性。

指定影響用戶端憑證驗證的旗標。
描述
NoRevocationCheck

指定將會略過憑證撤銷檢查。

警告:不建議略過撤銷驗證。

數值為 1

CertChainRevocationCheckCacheOnly 指定撤銷檢查只會存取快取的 URL。

數值為 2
CertChainCacheOnlyUrlRetrieval 只指定建置憑證鏈結中的快取 URL。 網際網路和內部網路不會搜尋以 URL 為基礎的物件。

數值為 4
CertNoUsageCheck 不會檢查用戶端憑證是否有使用旗標。 預設會啟用使用方式檢查,而且保證只允許「用戶端驗證」的用戶端憑證。

數值為 8
沒有任何預設值。
revocationFreshnessTime 選擇性的 timeSpan 屬性。

指定撤銷清單有效的時間量。

預設值是 00:00:00
revocationUrlRetrievalTimeout 選擇性的 timeSpan 屬性。

指定擷取憑證撤銷資訊的逾時。

預設值是 00:01:00
useActiveDirectoryMapping 選擇性 Boolean 屬性。

如果用戶端憑證應允許 Active Directory 對應,則為true;否則為false。 Active Directory 對應可讓網域使用者使用 Active Directory 中設定的用戶端憑證登入。

注意: 此功能只允許 SSL 層嘗試將用戶端憑證對應至使用者權杖;不會自動使用權杖。 元素 <clientCertAuthentication> 用來啟用對應權杖以供 FTP 使用,而不是透過 「USER」 和 「PASS」 命令指定的認證。

預設值是 false

子元素

無。

組態範例

下列範例會顯示需要資料通道和控制通道之 SSL 和用戶端憑證的預設 FTP 服務設定。

<siteDefaults>
 <ftpServer serverAutoStart="true">
   <security>
    <authentication>
     <anonymousAuthentication enabled="false" />
     <basicAuthentication enabled="true" />
    </authentication>
    <ssl serverCertHash="57686f6120447564652c2049495320526f636b73"
     controlChannelPolicy="SslRequire"
     dataChannelPolicy="SslRequire" />
    <sslClientCertificates clientCertificatePolicy="CertRequire"
     useActiveDirectoryMapping="false" />
   </security>
 </ftpServer>
</siteDefaults>

範例程式碼

下列範例會設定預設 FTP 服務,使其需要用戶端憑證,而且需要資料通道和控制通道的 SSL。

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.clientCertificatePolicy:"CertRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.sslClientCertificates.useActiveDirectoryMapping:"False" /commit:apphost

注意

當您使用 AppCmd.exe 來設定這些設定時,請務必將 認可 參數 apphost 設定為 。 這會將組態設定認可至ApplicationHost.config檔案中的適當位置區段。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
            sslElement["controlChannelPolicy"] = @"SslAllow";
            sslElement["dataChannelPolicy"] = @"SslAllow";
            sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";
         
         ConfigurationElement sslClientCertificatesElement = securityElement.GetChildElement("sslClientCertificates");
            sslClientCertificatesElement["clientCertificatePolicy"] = @"CertRequire";
            sslClientCertificatesElement["useActiveDirectoryMapping"] = false;

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
      Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
         sslElement("controlChannelPolicy") = "SslAllow"
         sslElement("dataChannelPolicy") = "SslAllow"
         sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"

      Dim sslClientCertificatesElement As ConfigurationElement = securityElement.GetChildElement("sslClientCertificates")
      sslClientCertificatesElement("clientCertificatePolicy") = "CertRequire"
      sslClientCertificatesElement("useActiveDirectoryMapping") = False
      
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";

var sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates");
   sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire";
   sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = false;

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"

   Set sslClientCertificatesElement = securityElement.ChildElements.Item("sslClientCertificates")
      sslClientCertificatesElement.Properties.Item("clientCertificatePolicy").Value = "CertRequire"
      sslClientCertificatesElement.Properties.Item("useActiveDirectoryMapping").Value = False

adminManager.CommitChanges()