HSTS-Einstellungen für eine Website <hsts>

  • Artikel

Übersicht

Das <hsts>-Element des <site>-Elements enthält Attribute, mit denen Sie HTTP Strict Transport Security (HSTS)-Einstellungen für eine Site in Internetinformationsdienste 10.0 Version 1709 (Internet Information Services, IIS) und höher konfigurieren können.

Hinweis

Wenn das <hsts> Element sowohl im Abschnitt <siteDefaults> als auch im <site> Abschnitt für eine bestimmte Site konfiguriert ist, wird die Konfiguration im Abschnitt <site> für diese Site verwendet.

Kompatibilität

Version Hinweise
IIS 10.0, Version 1709 Das <hsts>-Element des <site>-Elements wurde in IIS 10.0 Version 1709 eingeführt.
IIS 10.0 N/V
IIS 8.5 N/V
IIS 8.0 N/V
IIS 7.5 N/V
IIS 7.0 N/V
IIS 6.0 N/V

Setup

Das <hsts>-Element des <site>-Elements ist in der Standardinstallation von IIS 10.0 Version 1709 und höher enthalten.

Gewusst wie

Es gibt keine Benutzeroberfläche zum Konfigurieren des <hsts>-Elements des <site>-Elements für IIS 10.0 Version 1709. Beispiele zum programmgesteuerten Konfigurieren des <hsts>-Elements des <site>-Elements finden Sie im Abschnitt Beispielcode dieses Dokuments.

Konfiguration

Attribute

Attribut Beschreibung
enabled Optionales boolesches Attribut.

Gibt an, ob HSTS für eine Site aktiviert (true) oder deaktiviert (false) ist. Wenn HSTS aktiviert ist, wird der Strict-Transport-Security-HTTP-Antwortheader (Hypertext Transfer-Protokoll) hinzugefügt, wenn IIS auf eine HTTPS-Anforderung (Hypertext Transfer-Protokoll Secure) an die Website antwortet.

Der Standardwert ist false.
max-age Optionales Uint-Attribut.

Gibt die max-age-Anweisung im Feldwert des Strict-Transport-Security-HTTP-Antwortheaders an.

Der Standardwert ist 0.
includeSubDomains Optionales boolesches Attribut.

Gibt an, ob die includeSubDomains-Anweisung im Feldwert des Strict-Transport-Security-HTTP-Antwortheaders enthalten ist.

Hinweis: Aktivieren Sie dieses Attribut nur, wenn alle Unterdomänen tatsächlich einen HTTP-basierten Dienst über TLS/SSL (Transport Layer Security/Secure Sockets Layer) bieten.

Der Standardwert ist false.
preload Optionales boolesches Attribut.

Gibt an, ob die preload-Anweisung im Feldwert des Strict-Transport-Security-HTTP-Antwortheaders enthalten ist.

Hinweis: Aktivieren Sie dieses Attribut nur, wenn die Domäne der Site zur Aufnahme in die Preload-Liste von HSTS übermittelt wurde.

Der Standardwert ist false.
redirectHttpToHttps Optionales boolesches Attribut.

Gibt an, ob die HTTP-zu-HTTPS-Umleitung für eine Site aktiviert (true) oder deaktiviert (false) ist.

Hinweis: Wenn Sie redirectHttpToHttps aktivieren, wird die HTTP-zu-HTTPS-Umleitung auf Siteebene erzwungen. Wenn IIS eine HTTP-Anforderung umleitet, wird das URI-Schema durch „https“ ersetzt und die Portkomponente ignoriert. Stellen Sie sicher, dass das Umleitungsziel einen HTTP-basierten Dienst über TLS/SSL am Standardport 443 bereitstellt.

Der Standardwert ist false.

Untergeordnete Elemente

Keine.

Konfigurationsbeispiel

Das folgende Konfigurationsbeispiel zeigt eine Website mit dem Namen Contoso, bei der HSTS sowohl für HTTP- als auch für HTTPS-Bindungen aktiviert ist. Das Attribut max-age wird als 31536000 Sekunden (ein Jahr) festgelegt, sodass die Benutzer-Agents den Host innerhalb eines Jahres nach dem Empfang des Strict-Transport-Security-Kopfzeilenfelds als bekannten HSTS-Host betrachten. Das includeSubDomains-Attribut wird als true festgelegt, um anzugeben, dass die HSTS-Richtlinie für diesen HSTS-Host (contoso.com) sowie für jede Unterdomäne (z. B. www.contoso.com oder marketing.contoso.com) gilt. Schließlich wird das Attribut redirectHttpToHttps als true festgelegt, sodass alle HTTP-Anforderungen an die Website an HTTPS umgeleitet werden.

<site name="Contoso" id="1">
    <application path="/" applicationPool="Contoso">
        <virtualDirectory path="/" physicalPath="C:\Contoso\Content" />
    </application>
    <bindings>
        <binding protocol="http" bindingInformation="*:80:contoso.com" />
        <binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
    </bindings>
    <hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
</site>

Beispielcode

Die folgenden Codebeispiele aktivieren HSTS für eine Website namens Contoso mit HTTP- und HTTPS-Bindungen. Im Beispiel wird das Attribut max-age als 31536000 Sekunden (ein Jahr) festgelegt und aktiviert sowohl die Attribute includeSubDomains als auch redirectHttpToHttps.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost

Hinweis

Sie müssen unbedingt den Commitparameterapphost festlegen, wenn Sie AppCmd.exe verwenden, um diese Einstellungen zu konfigurieren. Dadurch werden die Konfigurationseinstellungen auf den entsprechenden Speicherortabschnitt in der Datei applicationHost.config festgelegt.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
    private static void Main()
    {
        using(ServerManager serverManager = new ServerManager())
        { 
            Configuration config = serverManager.GetApplicationHostConfiguration();
            ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
            ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
            
            ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"Contoso");
            if (siteElement == null) throw new InvalidOperationException("Element not found!");

            ConfigurationElement hstsElement = siteElement.GetChildElement("hsts");
            hstsElement["enabled"] = true;
            hstsElement["max-age"] = 31536000;
            hstsElement["includeSubDomains"] = true;
            hstsElement["redirectHttpToHttps"] = true;

            serverManager.CommitChanges();
        }
    }
    
    private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
    {
        foreach (ConfigurationElement element in collection)
        {
            if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
            {
                bool matches = true;
                for (int i = 0; i < keyValues.Length; i += 2)
                {
                    object o = element.GetAttributeValue(keyValues[i]);
                    string value = null;
                    if (o != null)
                    {
                        value = o.ToString();
                    }
    
                    if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
                    {
                        matches = false;
                        break;
                    }
                }
                if (matches)
                {
                    return element;
                }
            }
        }
        return null;
    }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "Contoso")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim hstsElement As ConfigurationElement = siteElement.GetChildElement("hsts")
      hstsElement("enabled") = True
      hstsElement("max-age") = 31536000
      hstsElement("includeSubDomains") = True
      hstsElement("redirectHttpToHttps") = True

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;

var siteElementPos = FindElement(sitesCollection, "site", ["name", "Contoso"]);
if (siteElementPos == -1) throw "Element not found!";
var siteElement = sitesCollection.Item(siteElementPos);

var hstsElement = siteElement.ChildElements.Item("hsts");
hstsElement.Properties.Item("enabled").Value = true;
hstsElement.Properties.Item("max-age").Value = 31536000;
hstsElement.Properties.Item("includeSubDomains").Value = true;
hstsElement.Properties.Item("redirectHttpToHttps").Value = true;

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch)
{
    for (var i = 0; i < collection.Count; i++)
    {
        var element = collection.Item(i);
        if (element.Name == elementTagName)
        {
            var matches = true;
            for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2)
            {
                var property = element.GetPropertyByName(valuesToMatch[iVal]);
                var value = property.Value;
                if (value != null)
                {
                    value = value.toString();
                }
                if (value != valuesToMatch[iVal + 1])
                {
                    matches = false;
                    break;
                }
            }
            if (matches)
            {
                return i;
            }
        }
    }
    
    return -1;
}

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "Contoso"))

If siteElementPos = -1 Then
   WScript.Echo "Element not found!"
   WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set hstsElement = siteElement.ChildElements.Item("hsts")
hstsElement.Properties.Item("enabled").Value = True
hstsElement.Properties.Item("max-age").Value = 31536000
hstsElement.Properties.Item("includeSubDomains").Value = True
hstsElement.Properties.Item("redirectHttpToHttps").Value = True

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function

IISAdministration PowerShell Cmdlets

Import-Module IISAdministration
Reset-IISServerManager -Confirm:$false
Start-IISCommitDelay

$sitesCollection = Get-IISConfigSection -SectionPath "system.applicationHost/sites" | Get-IISConfigCollection
$siteElement = Get-IISConfigCollectionElement -ConfigCollection $sitesCollection -ConfigAttribute @{"name"="Contoso"}
$hstsElement = Get-IISConfigElement -ConfigElement $siteElement -ChildElementName "hsts"
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "enabled" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "max-age" -AttributeValue 31536000
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "includeSubDomains" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "redirectHttpToHttps" -AttributeValue $true

Stop-IISCommitDelay
Remove-Module IISAdministration