透過 SSL 設定 < SSL 的預設 FTP ssl>

發行項
07/19/2023

概觀

元素 <ssl> 會指定 FTP over Secure Sockets Layer (SSL) 設定 FTP 服務;FTP over SSL 最初是在 FTP 7.0 中針對 IIS 7 引進。

不同于使用 HTTP over SSL，這需要個別的埠和連線，以便安全 (HTTPS) 通訊，安全 FTP 通訊會在與不安全通訊相同的埠上發生。 FTP 7 支援兩種不同形式的 FTP over SSL：

明確 FTPS：根據預設，FTP 月臺和用戶端會針對控制通道使用埠 21，而伺服器和用戶端會交涉資料通道連線的次要端口。在一般 FTP 要求中，FTP 用戶端會透過控制通道連線到 FTP 月臺，然後用戶端可以與伺服器交涉 SSL/TLS，以取得控制通道或資料通道。當您使用 FTP 7 時，如果您啟用 FTPS 並將 FTP 月臺指派給埠 990 以外的任何埠，就會使用明確 SSL。
隱含 FTPS：隱含 FTPS是較舊形式的 FTP over SSL，仍受 FTP 7 支援。使用隱含 FTPS 時，必須先交涉 SSL 交握，用戶端才能傳送任何 FTP 命令。此外，即使明確 FTPS 允許用戶端任意決定是否要使用 SSL，隱含 FTPS 也需要加密整個 FTP 會話。當您使用 FTP 7 時，如果您啟用 FTPS 並將 FTP 月臺指派給埠 990，則會使用隱含 SSL。

根據您在和 dataChannelPolicy 屬性中 controlChannelPolicy 設定的安全性選項，FTP 用戶端可能會在單一明確 FTPS 會話中多次在安全與不安全之間切換。根據您的業務需求，有數種方式可以實作此動作：

controlChannelPolicy	dataChannelPolicy	備註
`SslAllow`	`SslAllow`	此設定可讓用戶端決定是否應加密 FTP 會話的任何部分。
`SslRequireCredentialsOnly`	`SslAllow`	此設定可保護您的 FTP 用戶端認證免于電子竊聽，並允許用戶端決定是否應加密資料傳輸。
`SslRequireCredentialsOnly`	`SslRequire`	此設定需要用戶端的認證必須安全，然後允許用戶端決定是否應加密 FTP 命令。不過，所有資料傳輸都必須加密。
`SslRequire`	`SslRequire`	此設定最安全 - 用戶端必須先使用 FTPS 相關命令交涉 SSL，才能允許其他 FTP 命令，而且所有資料傳輸都必須加密。

相容性

版本	備註
IIS 10.0	在 `<ssl>` IIS 10.0 中未修改專案。
IIS 8.5	未 `<ssl>` 在 IIS 8.5 中修改專案。
IIS 8.0	在 IIS 8.0 中未修改專案 `<ssl>` 。
IIS 7.5	元素 `<ssl>` 的 `<security>` 元素會隨附為 IIS 7.5 的功能。
IIS 7.0	元素 `<ssl>` 的 `<security>` 元素是在 FTP 7.0 中引進，這是 IIS 7.0 的個別下載。
IIS 6.0	IIS 6.0 中的 FTP 服務不支援透過 SSL 的 FTP。

注意

FTP 7.0 和 FTP 7.5 服務針對 IIS 7.0 隨附頻外，需要從下列 URL 下載並安裝模組：

https://www.iis.net/expand/FTP

使用 Windows 7 和 Windows Server 2008 R2 時，FTP 7.5 服務會隨附為 IIS 7.5 的功能，因此不再需要下載 FTP 服務。

安裝程式

若要支援 Web 服務器的 FTP 發佈，您必須安裝 FTP 服務。若要這樣做，請使用下列步驟。

Windows Server 2012 或 Windows Server 2012 R2

在工作列上，按一下 [伺服器管理員]。
在伺服器管理員中，按一下 [管理]功能表，然後按一下 [新增角色和功能]。
在 [ 新增角色和功能 精靈] 中，按 [下一步]。選取安裝類型，然後按 [ 下一步]。選取目的地伺服器，然後按 [ 下一步]。
在 [ 伺服器角色] 頁面上，展開 [Web 服務器] ([IIS) ]，然後選取 [ FTP 伺服器]。

注意

支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證，除了FTP 服務之外，您還需要選取FTP 擴充性。
.
按 [下一步]，然後在 [ 選取功能 ] 頁面上，再次按 [ 下一步 ]。
在 [確認安裝選項] 頁面上，按一下 [安裝]。
在 [結果] 頁面上，按一下 [關閉]。

Windows 8 或Windows 8.1

在 [開始] 畫面上，將指標全部移至左下角，以滑鼠右鍵按一下 [開始] 按鈕，然後按一下[主控台]。
在主控台中，按一下 [程式和功能]，然後按一下 [開啟或關閉 Windows 功能]。
展開 [Internet Information Services]，然後選取 [FTP 伺服器]。

注意

支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證，您也必須選取 [FTP 擴充性]。
按一下 [確定]。
按一下 [關閉] 。

Windows Server 2008 R2

在工作列上，按一下 [開始]，指向 [系統管理工具]，然後按一下[伺服器管理員]。
在[伺服器管理員階層] 窗格中，展開 [角色]，然後按一下 [Web 服務器] (IIS) 。
在 [Web 服務器 (IIS) ] 窗格中，捲動至 [ 角色服務 ] 區段，然後按一下 [ 新增角色服務]。
在 [新增角色服務精靈] 的 [選取角色服務] 頁面上，展開[FTP 伺服器]。
選取 [FTP 服務]。

注意

支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證，您也必須選取 [FTP 擴充性]。
按一下 [下一步] 。
在 [確認安裝選項] 頁面上，按一下 [安裝]。
在 [結果] 頁面上，按一下 [關閉]。

Windows 7

在工作列上，按一下 [開始]，然後按一下[主控台]。
在主控台中，按一下 [程式和功能]，然後按一下 [開啟或關閉 Windows 功能]。
展開 [Internet Information Services]，然後展開 [FTP 伺服器]。
選取 [FTP 服務]。

注意

支援 ASP。FTP 服務的成員資格驗證或 IIS 管理員驗證，您也必須選取 [FTP 擴充性]。
按一下 [確定]。

Windows Server 2008 或 Windows Vista

從下列 URL 下載安裝套件：
- https://www.iis.net/expand/FTP
請遵循下列逐步解說中的指示來安裝 FTP 服務：
- 安裝和疑難排解 FTP 7

作法

如何設定 FTP 伺服器的預設 SSL 選項

(IIS) 管理員開啟 Internet Information Services：
- 如果您使用 Windows Server 2012 或 Windows Server 2012 R2：
  - 在工作列上，依序按一下 [伺服器管理員]、[工具]，然後按一下 [Internet Information Services] ([IIS) 管理員]。
- 如果您使用 Windows 8 或 Windows 8.1：
  - 按住Windows鍵，按字母X，然後按一下[主控台]。
  - 按一下 [ 系統管理工具]，然後按兩下 [Internet Information Services] ([IIS) 管理員]。
- 如果您使用 Windows Server 2008 或 Windows Server 2008 R2：
  - 在工作列上，按一下 [ 開始]，指向 [ 系統管理工具]，然後按一下 [ Internet Information Services (IIS) 管理員]。
- 如果您使用 Windows Vista 或 Windows 7：
  - 在工作列上，按一下 [開始]，然後按一下[主控台]。
  - 按兩下 [系統管理工具]，然後按兩下 [ Internet Information Services] (IIS) Manager。
在 [ 連線] 窗格中，按一下伺服器名稱。
在伺服器的 [ 首頁 ] 窗格中，按兩下 [FTP SSL 設定] 功能。
從 [SSL 憑證 ] 清單中，選取您要用於連線到 FTP 伺服器的憑證。
在 [SSL 原則] 底下，選取下列其中一個選項：
- 允許 SSL 連線：允許 FTP 伺服器同時支援用戶端的非 SSL 和 SSL 連線。
- 需要 SSL 連線：需要 SSL 加密，以用於 FTP 伺服器與用戶端之間的通訊。
- 自訂：可讓您為控制通道和資料通道設定不同的 SSL 加密原則。如果您選擇此選項，請按一下 [ 進階...] 按鈕。當 [ 進階 SSL 原則 ] 對話方塊開啟時，選取下列選項：
  - 在 [控制通道 ] 下，選取下列其中一個選項，以透過控制通道進行 SSL 加密：
    - 允許：指定控制通道允許 SSL;FTP 用戶端可能會對控制通道使用 SSL，但並非必要。
    - 需要：指定控制通道需要 SSL;FTP 用戶端可能不會切換至控制通道的非安全通訊模式。
    - 僅需要認證：指定只有使用者認證必須透過 SSL 會話傳送;FTP 用戶端必須使用 SSL 作為其使用者名稱和密碼，但用戶端在登入之後不需要對控制通道使用 SSL。
  - 在 [資料通道] 下，選取下列其中一個選項，以透過資料通道進行 SSL 加密：
    - 允許：資料通道允許 SSL;FTP 用戶端可能會針對資料通道使用 SSL，但並非必要。
    - 需要：資料通道需要 SSL;FTP 用戶端可能不會切換至資料通道的非安全通訊模式。
    - 拒絕：資料通道的 SSL 遭到拒絕;FTP 用戶端不能針對資料通道使用 SSL。
  - 按一下 [確定 ] 關閉 [ 進階 SSL 原則 ] 對話方塊。
在 [動作] 窗格中，按一下 [套用]。

組態

屬性

屬性描述

controlChannelPolicy

選擇性列舉屬性。

指定 FTP 控制通道的 SSL 原則。

注意： 沒有拒絕命令通道 SSL 的列舉值;若要拒絕 SSL，請勿在屬性中 serverCertHash 指定憑證雜湊，將 SSL 憑證系結至 FTP 網站。

值	描述
`SslAllow`	指定控制通道允許 SSL。數值為 `0` 。
`SslRequire`	指定控制通道需要 SSL。數值為 `1` 。
`SslRequireCredentialsOnly`	指定只有「USER」和「PASS」命令必須透過 SSL 會話傳送。在 FTP 用戶端登入之後，用戶端可以切換到非安全模式。數值為 `2` 。

預設值是 SslRequire。

dataChannelPolicy

選擇性列舉屬性。

指定 FTP 資料通道的 SSL 原則。

值	描述
`SslAllow`	指定資料通道允許 SSL。數值為 `0` 。
`SslRequire`	指定資料通道需要 SSL。數值為 `1` 。
`SslDeny`	指定資料通道的 SSL 遭到拒絕。數值為 `2` 。

預設值是 SslRequire。

serverCertHash 選擇性字串屬性。

指定要用於 SSL 連線之伺服器端憑證的指紋雜湊。

沒有任何預設值。

serverCertStoreName 選擇性字串屬性。

指定伺服器 SSL 憑證的憑證存放區。

預設值是 MY。

ssl128 選擇性 Boolean 屬性。

指定是否需要 128 位 SSL。

預設值是 false。

子元素

無。

組態範例

下列設定範例會示範如何根據預設，在控制通道和資料通道上啟用 SSL 存取。

(temp desc) SSL 設定範例。

<siteDefaults>
   <ftpServer>
      <security>
         <ssl controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" serverCertHash="57686f6120447564652c2049495320526f636b73"/>
      </security>
   </ftpServer>
</siteDefaults>

範例程式碼

下列範例示範如何根據預設，在控制通道和資料通道上啟用 SSL 存取。

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost

注意

當您使用 AppCmd.exe 來設定這些設定時，請務必將認可參數 apphost 設定為。這會將組態設定認可至ApplicationHost.config檔案中的適當位置區段。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
            sslElement["controlChannelPolicy"] = @"SslAllow";
            sslElement["dataChannelPolicy"] = @"SslAllow";
            sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
      Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
         sslElement("controlChannelPolicy") = "SslAllow"
         sslElement("dataChannelPolicy") = "SslAllow"
         sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"

adminManager.CommitChanges()

共用方式為