Configuración de HSTS para un sitio web <hsts>
Información general
El elemento <hsts> del elemento <site> contiene atributos que permiten configurar la configuración de seguridad de transporte estricta HTTP (HSTS) para un sitio en IIS 10.0 versión 1709 y posteriores.
Nota:
Si el elemento <hsts> está configurado en la sección <siteDefaults> y en la sección <site> de un sitio específico, la configuración de la sección <site> se usa para ese sitio.
Compatibilidad
| Versión | Notas |
|---|---|
| IIS 10.0, versión 1709 | El elemento <hsts> del elemento <site> se introdujo en IIS 10.0 versión 1709. |
| IIS 10.0 | N/D |
| IIS 8.5 | N/D |
| IIS 8.0 | N/D |
| IIS 7.5 | N/D |
| IIS 7.0 | N/D |
| IIS 6,0 | N/D |
Configuración
El elemento <hsts> del elemento <site> se incluye en la instalación predeterminada de IIS 10.0 versión 1709 y posteriores.
Procedimientos
No hay ninguna interfaz de usuario que le permita configurar el elemento <hsts> del elemento <site> para IIS 10.0 versión 1709. Para obtener ejemplos de cómo configurar el elemento <hsts> del elemento <site> mediante programación, consulte la sección Código de ejemplo de este documento.
Configuración
Atributos
| Atributo | Descripción |
|---|---|
enabled |
Atributo Boolean opcional. Especifica si HSTS está habilitado (true) o deshabilitado (false) para un sitio. Si HSTS está habilitado, el encabezado de respuesta HTTP Strict-Transport-Security se agrega cuando IIS responde a una solicitud HTTPS al sitio web. El valor predeterminado es false. |
max-age |
Atributo uint opcional. Especifica la directiva max-age en el valor del campo de encabezado de respuesta HTTP Strict-Transport-Security. El valor predeterminado es 0. |
includeSubDomains |
Atributo Boolean opcional. Especifica si la directiva includeSubDomains se incluye en el valor del campo de encabezado de respuesta HTTP Strict-Transport-Security. Nota: Habilite este atributo solo si todos los subdominios ofrecen realmente un servicio basado en HTTP a través de TLS/SSL. El valor predeterminado es false. |
preload |
Atributo Boolean opcional. Especifica si la directiva preload se incluye en el valor del campo de encabezado de respuesta HTTP Strict-Transport-Security. Nota: Habilite este atributo solo si el dominio del sitio se ha enviado para su inclusión en la lista de carga previa de HSTS. El valor predeterminado es false. |
redirectHttpToHttps |
Atributo Boolean opcional. Especifica si el redireccionamiento HTTP a HTTPS está habilitado (true) o deshabilitado (false) para un sitio. Nota: Al habilitar redirectHttpToHttps, se aplica el redireccionamiento HTTP a HTTPS de nivel de sitio. Cuando IIS redirige una solicitud HTTP, reemplaza el esquema URI por "https" y omite el componente de puerto. Asegúrese de que el destino de redireccionamiento proporciona un servicio basado en HTTP a través de TLS/SSL en el puerto estándar 443. El valor predeterminado es false. |
Elementos secundarios
Ninguno.
Ejemplo de configuración
En el ejemplo de configuración siguiente se muestra un sitio web denominado Contoso que tiene HSTS habilitado con enlaces HTTP y HTTPS. El atributo max-age se establece como 31536000 segundos (un año) para que los agentes de usuario consideren el host como un host de HSTS conocido en un año después de la recepción del campo de encabezado Strict-Transport-Security. El atributo includeSubDomains se establece como true para especificar que la directiva HSTS se aplica a este host HSTS (contoso.com), así como a cualquier subdominio (por ejemplo, www.contoso.com o marketing.contoso.com). Por último, el atributo redirectHttpToHttps se establece como true para que todas las solicitudes HTTP al sitio se redirijan a HTTPS.
<site name="Contoso" id="1">
<application path="/" applicationPool="Contoso">
<virtualDirectory path="/" physicalPath="C:\Contoso\Content" />
</application>
<bindings>
<binding protocol="http" bindingInformation="*:80:contoso.com" />
<binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
</bindings>
<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
</site>
Código de ejemplo
Los ejemplos de código siguientes habilitan HSTS para un sitio web denominado Contoso con enlaces HTTP y HTTPS. El ejemplo establece el atributo max-age como 31536000 segundos (un año) y habilita los atributos includeSubDomains y redirectHttpToHttps.
AppCmd.exe
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost
Nota:
Debe asegurarse de establecer el parámetro de confirmación en apphost cuando use AppCmd.exe para configurar estas opciones. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo applicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using(ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"Contoso");
if (siteElement == null) throw new InvalidOperationException("Element not found!");
ConfigurationElement hstsElement = siteElement.GetChildElement("hsts");
hstsElement["enabled"] = true;
hstsElement["max-age"] = 31536000;
hstsElement["includeSubDomains"] = true;
hstsElement["redirectHttpToHttps"] = true;
serverManager.CommitChanges();
}
}
private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
{
foreach (ConfigurationElement element in collection)
{
if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
{
bool matches = true;
for (int i = 0; i < keyValues.Length; i += 2)
{
object o = element.GetAttributeValue(keyValues[i]);
string value = null;
if (o != null)
{
value = o.ToString();
}
if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
{
matches = false;
break;
}
}
if (matches)
{
return element;
}
}
}
return null;
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection
Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "Contoso")
If (siteElement Is Nothing) Then
Throw New InvalidOperationException("Element not found!")
End If
Dim hstsElement As ConfigurationElement = siteElement.GetChildElement("hsts")
hstsElement("enabled") = True
hstsElement("max-age") = 31536000
hstsElement("includeSubDomains") = True
hstsElement("redirectHttpToHttps") = True
serverManager.CommitChanges()
End Sub
Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
For Each element As ConfigurationElement In collection
If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
Dim matches As Boolean = True
Dim i As Integer
For i = 0 To keyValues.Length - 1 Step 2
Dim o As Object = element.GetAttributeValue(keyValues(i))
Dim value As String = Nothing
If (Not (o) Is Nothing) Then
value = o.ToString
End If
If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
matches = False
Exit For
End If
Next
If matches Then
Return element
End If
End If
Next
Return Nothing
End Function
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "Contoso"]);
if (siteElementPos == -1) throw "Element not found!";
var siteElement = sitesCollection.Item(siteElementPos);
var hstsElement = siteElement.ChildElements.Item("hsts");
hstsElement.Properties.Item("enabled").Value = true;
hstsElement.Properties.Item("max-age").Value = 31536000;
hstsElement.Properties.Item("includeSubDomains").Value = true;
hstsElement.Properties.Item("redirectHttpToHttps").Value = true;
adminManager.CommitChanges();
function FindElement(collection, elementTagName, valuesToMatch)
{
for (var i = 0; i < collection.Count; i++)
{
var element = collection.Item(i);
if (element.Name == elementTagName)
{
var matches = true;
for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2)
{
var property = element.GetPropertyByName(valuesToMatch[iVal]);
var value = property.Value;
if (value != null)
{
value = value.toString();
}
if (value != valuesToMatch[iVal + 1])
{
matches = false;
break;
}
}
if (matches)
{
return i;
}
}
}
return -1;
}
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "Contoso"))
If siteElementPos = -1 Then
WScript.Echo "Element not found!"
WScript.Quit
End If
Set siteElement = sitesCollection.Item(siteElementPos)
Set hstsElement = siteElement.ChildElements.Item("hsts")
hstsElement.Properties.Item("enabled").Value = True
hstsElement.Properties.Item("max-age").Value = 31536000
hstsElement.Properties.Item("includeSubDomains").Value = True
hstsElement.Properties.Item("redirectHttpToHttps").Value = True
adminManager.CommitChanges()
Function FindElement(collection, elementTagName, valuesToMatch)
For i = 0 To CInt(collection.Count) - 1
Set element = collection.Item(i)
If element.Name = elementTagName Then
matches = True
For iVal = 0 To UBound(valuesToMatch) Step 2
Set property = element.GetPropertyByName(valuesToMatch(iVal))
value = property.Value
If Not IsNull(value) Then
value = CStr(value)
End If
If Not value = CStr(valuesToMatch(iVal + 1)) Then
matches = False
Exit For
End If
Next
If matches Then
Exit For
End If
End If
Next
If matches Then
FindElement = i
Else
FindElement = -1
End If
End Function
Cmdlets de PowerShell de IISAdministration
Import-Module IISAdministration
Reset-IISServerManager -Confirm:$false
Start-IISCommitDelay
$sitesCollection = Get-IISConfigSection -SectionPath "system.applicationHost/sites" | Get-IISConfigCollection
$siteElement = Get-IISConfigCollectionElement -ConfigCollection $sitesCollection -ConfigAttribute @{"name"="Contoso"}
$hstsElement = Get-IISConfigElement -ConfigElement $siteElement -ChildElementName "hsts"
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "enabled" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "max-age" -AttributeValue 31536000
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "includeSubDomains" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "redirectHttpToHttps" -AttributeValue $true
Stop-IISCommitDelay
Remove-Module IISAdministration