HSTS-Einstellungen für eine Website <hsts>
Übersicht
Das <hsts>-Element des <site>-Elements enthält Attribute, mit denen Sie HTTP Strict Transport Security (HSTS)-Einstellungen für eine Site in Internetinformationsdienste 10.0 Version 1709 (Internet Information Services, IIS) und höher konfigurieren können.
Hinweis
Wenn das <hsts> Element sowohl im Abschnitt <siteDefaults> als auch im <site> Abschnitt für eine bestimmte Site konfiguriert ist, wird die Konfiguration im Abschnitt <site> für diese Site verwendet.
Kompatibilität
| Version | Hinweise |
|---|---|
| IIS 10.0, Version 1709 | Das <hsts>-Element des <site>-Elements wurde in IIS 10.0 Version 1709 eingeführt. |
| IIS 10.0 | N/V |
| IIS 8.5 | N/V |
| IIS 8.0 | N/V |
| IIS 7.5 | N/V |
| IIS 7.0 | N/V |
| IIS 6.0 | N/V |
Setup
Das <hsts>-Element des <site>-Elements ist in der Standardinstallation von IIS 10.0 Version 1709 und höher enthalten.
Gewusst wie
Es gibt keine Benutzeroberfläche zum Konfigurieren des <hsts>-Elements des <site>-Elements für IIS 10.0 Version 1709. Beispiele zum programmgesteuerten Konfigurieren des <hsts>-Elements des <site>-Elements finden Sie im Abschnitt Beispielcode dieses Dokuments.
Konfiguration
Attribute
| Attribut | Beschreibung |
|---|---|
enabled |
Optionales boolesches Attribut. Gibt an, ob HSTS für eine Site aktiviert (true) oder deaktiviert (false) ist. Wenn HSTS aktiviert ist, wird der Strict-Transport-Security-HTTP-Antwortheader (Hypertext Transfer-Protokoll) hinzugefügt, wenn IIS auf eine HTTPS-Anforderung (Hypertext Transfer-Protokoll Secure) an die Website antwortet. Der Standardwert ist false. |
max-age |
Optionales Uint-Attribut. Gibt die max-age-Anweisung im Feldwert des Strict-Transport-Security-HTTP-Antwortheaders an. Der Standardwert ist 0. |
includeSubDomains |
Optionales boolesches Attribut. Gibt an, ob die includeSubDomains-Anweisung im Feldwert des Strict-Transport-Security-HTTP-Antwortheaders enthalten ist. Hinweis: Aktivieren Sie dieses Attribut nur, wenn alle Unterdomänen tatsächlich einen HTTP-basierten Dienst über TLS/SSL (Transport Layer Security/Secure Sockets Layer) bieten. Der Standardwert ist false. |
preload |
Optionales boolesches Attribut. Gibt an, ob die preload-Anweisung im Feldwert des Strict-Transport-Security-HTTP-Antwortheaders enthalten ist. Hinweis: Aktivieren Sie dieses Attribut nur, wenn die Domäne der Site zur Aufnahme in die Preload-Liste von HSTS übermittelt wurde. Der Standardwert ist false. |
redirectHttpToHttps |
Optionales boolesches Attribut. Gibt an, ob die HTTP-zu-HTTPS-Umleitung für eine Site aktiviert (true) oder deaktiviert (false) ist. Hinweis: Wenn Sie redirectHttpToHttps aktivieren, wird die HTTP-zu-HTTPS-Umleitung auf Siteebene erzwungen. Wenn IIS eine HTTP-Anforderung umleitet, wird das URI-Schema durch „https“ ersetzt und die Portkomponente ignoriert. Stellen Sie sicher, dass das Umleitungsziel einen HTTP-basierten Dienst über TLS/SSL am Standardport 443 bereitstellt. Der Standardwert ist false. |
Untergeordnete Elemente
Keine.
Konfigurationsbeispiel
Das folgende Konfigurationsbeispiel zeigt eine Website mit dem Namen Contoso, bei der HSTS sowohl für HTTP- als auch für HTTPS-Bindungen aktiviert ist. Das Attribut max-age wird als 31536000 Sekunden (ein Jahr) festgelegt, sodass die Benutzer-Agents den Host innerhalb eines Jahres nach dem Empfang des Strict-Transport-Security-Kopfzeilenfelds als bekannten HSTS-Host betrachten. Das includeSubDomains-Attribut wird als true festgelegt, um anzugeben, dass die HSTS-Richtlinie für diesen HSTS-Host (contoso.com) sowie für jede Unterdomäne (z. B. www.contoso.com oder marketing.contoso.com) gilt. Schließlich wird das Attribut redirectHttpToHttps als true festgelegt, sodass alle HTTP-Anforderungen an die Website an HTTPS umgeleitet werden.
<site name="Contoso" id="1">
<application path="/" applicationPool="Contoso">
<virtualDirectory path="/" physicalPath="C:\Contoso\Content" />
</application>
<bindings>
<binding protocol="http" bindingInformation="*:80:contoso.com" />
<binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
</bindings>
<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
</site>
Beispielcode
Die folgenden Codebeispiele aktivieren HSTS für eine Website namens Contoso mit HTTP- und HTTPS-Bindungen. Im Beispiel wird das Attribut max-age als 31536000 Sekunden (ein Jahr) festgelegt und aktiviert sowohl die Attribute includeSubDomains als auch redirectHttpToHttps.
AppCmd.exe
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost
Hinweis
Sie müssen unbedingt den Commitparameterapphost festlegen, wenn Sie AppCmd.exe verwenden, um diese Einstellungen zu konfigurieren. Dadurch werden die Konfigurationseinstellungen auf den entsprechenden Speicherortabschnitt in der Datei applicationHost.config festgelegt.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using(ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"Contoso");
if (siteElement == null) throw new InvalidOperationException("Element not found!");
ConfigurationElement hstsElement = siteElement.GetChildElement("hsts");
hstsElement["enabled"] = true;
hstsElement["max-age"] = 31536000;
hstsElement["includeSubDomains"] = true;
hstsElement["redirectHttpToHttps"] = true;
serverManager.CommitChanges();
}
}
private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
{
foreach (ConfigurationElement element in collection)
{
if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
{
bool matches = true;
for (int i = 0; i < keyValues.Length; i += 2)
{
object o = element.GetAttributeValue(keyValues[i]);
string value = null;
if (o != null)
{
value = o.ToString();
}
if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
{
matches = false;
break;
}
}
if (matches)
{
return element;
}
}
}
return null;
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection
Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "Contoso")
If (siteElement Is Nothing) Then
Throw New InvalidOperationException("Element not found!")
End If
Dim hstsElement As ConfigurationElement = siteElement.GetChildElement("hsts")
hstsElement("enabled") = True
hstsElement("max-age") = 31536000
hstsElement("includeSubDomains") = True
hstsElement("redirectHttpToHttps") = True
serverManager.CommitChanges()
End Sub
Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
For Each element As ConfigurationElement In collection
If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
Dim matches As Boolean = True
Dim i As Integer
For i = 0 To keyValues.Length - 1 Step 2
Dim o As Object = element.GetAttributeValue(keyValues(i))
Dim value As String = Nothing
If (Not (o) Is Nothing) Then
value = o.ToString
End If
If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
matches = False
Exit For
End If
Next
If matches Then
Return element
End If
End If
Next
Return Nothing
End Function
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "Contoso"]);
if (siteElementPos == -1) throw "Element not found!";
var siteElement = sitesCollection.Item(siteElementPos);
var hstsElement = siteElement.ChildElements.Item("hsts");
hstsElement.Properties.Item("enabled").Value = true;
hstsElement.Properties.Item("max-age").Value = 31536000;
hstsElement.Properties.Item("includeSubDomains").Value = true;
hstsElement.Properties.Item("redirectHttpToHttps").Value = true;
adminManager.CommitChanges();
function FindElement(collection, elementTagName, valuesToMatch)
{
for (var i = 0; i < collection.Count; i++)
{
var element = collection.Item(i);
if (element.Name == elementTagName)
{
var matches = true;
for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2)
{
var property = element.GetPropertyByName(valuesToMatch[iVal]);
var value = property.Value;
if (value != null)
{
value = value.toString();
}
if (value != valuesToMatch[iVal + 1])
{
matches = false;
break;
}
}
if (matches)
{
return i;
}
}
}
return -1;
}
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "Contoso"))
If siteElementPos = -1 Then
WScript.Echo "Element not found!"
WScript.Quit
End If
Set siteElement = sitesCollection.Item(siteElementPos)
Set hstsElement = siteElement.ChildElements.Item("hsts")
hstsElement.Properties.Item("enabled").Value = True
hstsElement.Properties.Item("max-age").Value = 31536000
hstsElement.Properties.Item("includeSubDomains").Value = True
hstsElement.Properties.Item("redirectHttpToHttps").Value = True
adminManager.CommitChanges()
Function FindElement(collection, elementTagName, valuesToMatch)
For i = 0 To CInt(collection.Count) - 1
Set element = collection.Item(i)
If element.Name = elementTagName Then
matches = True
For iVal = 0 To UBound(valuesToMatch) Step 2
Set property = element.GetPropertyByName(valuesToMatch(iVal))
value = property.Value
If Not IsNull(value) Then
value = CStr(value)
End If
If Not value = CStr(valuesToMatch(iVal + 1)) Then
matches = False
Exit For
End If
Next
If matches Then
Exit For
End If
End If
Next
If matches Then
FindElement = i
Else
FindElement = -1
End If
End Function
IISAdministration PowerShell Cmdlets
Import-Module IISAdministration
Reset-IISServerManager -Confirm:$false
Start-IISCommitDelay
$sitesCollection = Get-IISConfigSection -SectionPath "system.applicationHost/sites" | Get-IISConfigCollection
$siteElement = Get-IISConfigCollectionElement -ConfigCollection $sitesCollection -ConfigAttribute @{"name"="Contoso"}
$hstsElement = Get-IISConfigElement -ConfigElement $siteElement -ChildElementName "hsts"
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "enabled" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "max-age" -AttributeValue 31536000
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "includeSubDomains" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "redirectHttpToHttps" -AttributeValue $true
Stop-IISCommitDelay
Remove-Module IISAdministration