Compartir a través de


Configuración de HSTS para un sitio web <hsts>

Información general

El elemento <hsts> del elemento <site> contiene atributos que permiten configurar la configuración de seguridad de transporte estricta HTTP (HSTS) para un sitio en IIS 10.0 versión 1709 y posteriores.

Nota:

Si el elemento <hsts> está configurado en la sección <siteDefaults> y en la sección <site> de un sitio específico, la configuración de la sección <site> se usa para ese sitio.

Compatibilidad

Versión Notas
IIS 10.0, versión 1709 El elemento <hsts> del elemento <site> se introdujo en IIS 10.0 versión 1709.
IIS 10.0 N/D
IIS 8.5 N/D
IIS 8.0 N/D
IIS 7.5 N/D
IIS 7.0 N/D
IIS 6,0 N/D

Configuración

El elemento <hsts> del elemento <site> se incluye en la instalación predeterminada de IIS 10.0 versión 1709 y posteriores.

Procedimientos

No hay ninguna interfaz de usuario que le permita configurar el elemento <hsts> del elemento <site> para IIS 10.0 versión 1709. Para obtener ejemplos de cómo configurar el elemento <hsts> del elemento <site> mediante programación, consulte la sección Código de ejemplo de este documento.

Configuración

Atributos

Atributo Descripción
enabled Atributo Boolean opcional.

Especifica si HSTS está habilitado (true) o deshabilitado (false) para un sitio. Si HSTS está habilitado, el encabezado de respuesta HTTP Strict-Transport-Security se agrega cuando IIS responde a una solicitud HTTPS al sitio web.

El valor predeterminado es false.
max-age Atributo uint opcional.

Especifica la directiva max-age en el valor del campo de encabezado de respuesta HTTP Strict-Transport-Security.

El valor predeterminado es 0.
includeSubDomains Atributo Boolean opcional.

Especifica si la directiva includeSubDomains se incluye en el valor del campo de encabezado de respuesta HTTP Strict-Transport-Security.

Nota: Habilite este atributo solo si todos los subdominios ofrecen realmente un servicio basado en HTTP a través de TLS/SSL.

El valor predeterminado es false.
preload Atributo Boolean opcional.

Especifica si la directiva preload se incluye en el valor del campo de encabezado de respuesta HTTP Strict-Transport-Security.

Nota: Habilite este atributo solo si el dominio del sitio se ha enviado para su inclusión en la lista de carga previa de HSTS.

El valor predeterminado es false.
redirectHttpToHttps Atributo Boolean opcional.

Especifica si el redireccionamiento HTTP a HTTPS está habilitado (true) o deshabilitado (false) para un sitio.

Nota: Al habilitar redirectHttpToHttps, se aplica el redireccionamiento HTTP a HTTPS de nivel de sitio. Cuando IIS redirige una solicitud HTTP, reemplaza el esquema URI por "https" y omite el componente de puerto. Asegúrese de que el destino de redireccionamiento proporciona un servicio basado en HTTP a través de TLS/SSL en el puerto estándar 443.

El valor predeterminado es false.

Elementos secundarios

Ninguno.

Ejemplo de configuración

En el ejemplo de configuración siguiente se muestra un sitio web denominado Contoso que tiene HSTS habilitado con enlaces HTTP y HTTPS. El atributo max-age se establece como 31536000 segundos (un año) para que los agentes de usuario consideren el host como un host de HSTS conocido en un año después de la recepción del campo de encabezado Strict-Transport-Security. El atributo includeSubDomains se establece como true para especificar que la directiva HSTS se aplica a este host HSTS (contoso.com), así como a cualquier subdominio (por ejemplo, www.contoso.com o marketing.contoso.com). Por último, el atributo redirectHttpToHttps se establece como true para que todas las solicitudes HTTP al sitio se redirijan a HTTPS.

<site name="Contoso" id="1">
    <application path="/" applicationPool="Contoso">
        <virtualDirectory path="/" physicalPath="C:\Contoso\Content" />
    </application>
    <bindings>
        <binding protocol="http" bindingInformation="*:80:contoso.com" />
        <binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
    </bindings>
    <hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
</site>

Código de ejemplo

Los ejemplos de código siguientes habilitan HSTS para un sitio web denominado Contoso con enlaces HTTP y HTTPS. El ejemplo establece el atributo max-age como 31536000 segundos (un año) y habilita los atributos includeSubDomains y redirectHttpToHttps.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost

Nota:

Debe asegurarse de establecer el parámetro de confirmación en apphost cuando use AppCmd.exe para configurar estas opciones. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo applicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
    private static void Main()
    {
        using(ServerManager serverManager = new ServerManager())
        { 
            Configuration config = serverManager.GetApplicationHostConfiguration();
            ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
            ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
            
            ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"Contoso");
            if (siteElement == null) throw new InvalidOperationException("Element not found!");

            ConfigurationElement hstsElement = siteElement.GetChildElement("hsts");
            hstsElement["enabled"] = true;
            hstsElement["max-age"] = 31536000;
            hstsElement["includeSubDomains"] = true;
            hstsElement["redirectHttpToHttps"] = true;

            serverManager.CommitChanges();
        }
    }
    
    private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
    {
        foreach (ConfigurationElement element in collection)
        {
            if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
            {
                bool matches = true;
                for (int i = 0; i < keyValues.Length; i += 2)
                {
                    object o = element.GetAttributeValue(keyValues[i]);
                    string value = null;
                    if (o != null)
                    {
                        value = o.ToString();
                    }
    
                    if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
                    {
                        matches = false;
                        break;
                    }
                }
                if (matches)
                {
                    return element;
                }
            }
        }
        return null;
    }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "Contoso")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim hstsElement As ConfigurationElement = siteElement.GetChildElement("hsts")
      hstsElement("enabled") = True
      hstsElement("max-age") = 31536000
      hstsElement("includeSubDomains") = True
      hstsElement("redirectHttpToHttps") = True

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;

var siteElementPos = FindElement(sitesCollection, "site", ["name", "Contoso"]);
if (siteElementPos == -1) throw "Element not found!";
var siteElement = sitesCollection.Item(siteElementPos);

var hstsElement = siteElement.ChildElements.Item("hsts");
hstsElement.Properties.Item("enabled").Value = true;
hstsElement.Properties.Item("max-age").Value = 31536000;
hstsElement.Properties.Item("includeSubDomains").Value = true;
hstsElement.Properties.Item("redirectHttpToHttps").Value = true;

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch)
{
    for (var i = 0; i < collection.Count; i++)
    {
        var element = collection.Item(i);
        if (element.Name == elementTagName)
        {
            var matches = true;
            for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2)
            {
                var property = element.GetPropertyByName(valuesToMatch[iVal]);
                var value = property.Value;
                if (value != null)
                {
                    value = value.toString();
                }
                if (value != valuesToMatch[iVal + 1])
                {
                    matches = false;
                    break;
                }
            }
            if (matches)
            {
                return i;
            }
        }
    }
    
    return -1;
}

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "Contoso"))

If siteElementPos = -1 Then
   WScript.Echo "Element not found!"
   WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set hstsElement = siteElement.ChildElements.Item("hsts")
hstsElement.Properties.Item("enabled").Value = True
hstsElement.Properties.Item("max-age").Value = 31536000
hstsElement.Properties.Item("includeSubDomains").Value = True
hstsElement.Properties.Item("redirectHttpToHttps").Value = True

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function

Cmdlets de PowerShell de IISAdministration

Import-Module IISAdministration
Reset-IISServerManager -Confirm:$false
Start-IISCommitDelay

$sitesCollection = Get-IISConfigSection -SectionPath "system.applicationHost/sites" | Get-IISConfigCollection
$siteElement = Get-IISConfigCollectionElement -ConfigCollection $sitesCollection -ConfigAttribute @{"name"="Contoso"}
$hstsElement = Get-IISConfigElement -ConfigElement $siteElement -ChildElementName "hsts"
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "enabled" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "max-age" -AttributeValue 31536000
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "includeSubDomains" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "redirectHttpToHttps" -AttributeValue $true

Stop-IISCommitDelay
Remove-Module IISAdministration