FTP over SSL <ssl>
概要
<ssl>
要素は、FTP サービスの FTP over Secure Sockets Layer (SSL) 設定を指定します。FTP over SSL は、FTP 7.0 の IIS 7 に初めて導入されました。
通信をセキュリティで保護する (HTTPS) ために別のポートと接続が必要な HTTP over SSL を使用するのとは異なり、セキュリティで保護された FTP 通信は、セキュリティで保護されていない通信と同じポートで行われます。 FTP 7 は、次の 2 つの異なる形式の FTP over SSL をサポートしています。
- 明示的 FTPS: 既定では、FTP サイトとクライアントはコントロール チャネルにポート 21 を使用し、サーバーとクライアントはデータ チャネル接続のセカンダリ ポートをネゴシエートします。 一般的な FTP 要求では、FTP クライアントがコントロール チャネル経由で FTP サイトに接続すると、SSL/TLS をコントロール チャネルまたはデータ チャネルのサーバーとネゴシエートできるようになります。 FTP 7 を使用するときに、FTPS を有効にし、FTP サイトをポート 990 以外の任意のポートに割り当てると、明示的 SSL を使用することになります。
- 暗黙的 FTPS: 暗黙的 FTPS は、FTP over SSL の古い形式で、FTP 7 で引き続きサポートされています。 暗黙的 FTPS では、クライアントから FTP コマンドを送信するには、SSL ハンドシェイクをネゴシエートする必要があります。 さらに、明示的 FTPS を使用すると、クライアントは SSL を使用するかどうかを任意に決定できますが、暗黙的 FTPS は、FTP セッション全体を暗号化することを必要とします。 FTP 7 を使用するときに、FTPS を有効にし、FTP サイトをポート 990 に割り当てると、暗黙的 SSL を使用することになります。
controlChannelPolicy
属性と dataChannelPolicy
属性で構成するセキュリティ オプションに応じて、1 つの明示的 FTPS セッションで、FTP クライアントのセキュリティ保護の有無を複数回切り替えることができます。 これを実装する方法は、ビジネス ニーズに応じて次のようにいくつか考えられます。
controlChannelPolicy | dataChannelPolicy | メモ |
---|---|---|
SslAllow |
SslAllow |
この構成を使用すると、クライアントが FTP セッションの任意の部分を暗号化するかどうかを決定できます。 |
SslRequireCredentialsOnly |
SslAllow |
この構成を使用すると、FTP クライアントの資格情報が電子傍受から保護され、クライアントがデータ転送を暗号化するかどうかを決定できます。 |
SslRequireCredentialsOnly |
SslRequire |
この構成を使用すると、クライアントの資格情報をセキュリティで保護する必要があり、保護すると、クライアントが FTP コマンドを暗号化するかどうかを決定できます。 ただし、すべてのデータ転送は暗号化する必要があります。 |
SslRequire |
SslRequire |
この構成は最も安全です。他の FTP コマンドを許可する前に、クライアントが FTPS 関連コマンドを使用して SSL をネゴシエートする必要があり、すべてのデータ転送を暗号化する必要があります。 |
互換性
バージョン | メモ |
---|---|
IIS 10.0 | <ssl> 要素は IIS 10.0 では変更されませんでした。 |
IIS 8.5 | <ssl> 要素は IIS 8.5 では変更されませんでした。 |
IIS 8.0 | <ssl> 要素は IIS 8.0 では変更されませんでした。 |
IIS 7.5 | <security> 要素の <ssl> 要素は、IIS 7.5 の機能として付属しています。 |
IIS 7.0 | <security> 要素の <ssl> 要素が、IIS 7.0 用の別個のダウンロードとして FTP 7.0 で導入されました。 |
IIS 6.0 | IIS 6.0 の FTP サービスは、SSL 経由の FTP をサポートしませんでした。 |
Note
FTP 7.0 サービスと FTP 7.5 サービスは IIS 7.0 とは別に出荷され、次の URL からモジュールをダウンロードしてインストールする必要がありました。
Windows 7 と Windows Server 2008 R2 では、FTP 7.5 サービスは IIS 7.5 の機能として付属しているため、FTP サービスのダウンロードは必要なくなりました。
段取り
Web サーバーの FTP 公開をサポートするには、FTP サービスをインストールする必要があります。 そのためには、次のステップに従います。
Windows Server 2012 または Windows Server 2012 R2
タスク バーで [サーバー マネージャー]をクリックします。
[サーバー マネージャー] で、[管理] メニューをクリックし、[役割と機能の追加] をクリックします。
役割と機能の追加ウィザードで、[次へ] をクリックします。 [インストールの種類] を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] をクリックします。
[サーバーの役割] ページで、[Web サーバー (IIS)] を展開して、[FTP サーバー] を選びます。
[次へ] をクリックし、[機能の選択] ページで再度 [次へ] をクリックします。
[インストール オプションの確認] ページで、[インストール] をクリックします。
[結果] ページで、 [閉じる]をクリックします。
Windows 8 または Windows 8.1
[スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] をクリックします。
[コントロール パネル]で [プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。
[インターネット インフォメーション サービス] を展開し、[FTP サーバー] を展開します。
OK をクリックします。
閉じるをクリックします。
Windows Server 2008 R2
タスク バーで [スタート] をクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。
[サーバー マネージャ] 階層ウィンドウで [役割] を展開し、[Web サーバー (IIS)] をクリックします。
[Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] をクリックします。
[役割サービスの追加] ウィザードの [役割サービスの選択] ページで [FTP サーバー] を展開します。
[FTP Service] を選択します。
次へ をクリックします。
[インストール オプションの確認] ページで、[インストール] をクリックします。
[結果] ページで、 [閉じる]をクリックします。
Windows 7
タスク バーで、[スタート]、[コントロール パネル] の順にクリックします。
[コントロール パネル]で [プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。
[インターネット インフォメーション サービス]、[FTP サーバー] の順に展開します。
[FTP Service] を選択します。
OK をクリックします。
Windows Server 2008 または Windows Vista
次の URL からインストール パッケージをダウンロードします。
次のチュートリアルの手順に従って、FTP サービスをインストールします。
操作方法
FTP サイトの SSL オプションを構成する方法
次のようにインターネット インフォメーション サービス (IIS) マネージャーを開きます。
Windows Server 2012 または Windows Server 2012 R2 を使用している場合:
- タスク バーで、[サーバー マネージャー] をクリックし、[ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
Windows 8 または Windows 8.1 を使用している場合:
- Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
- [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
Windows Server 2008 または Windows Server 2008 R2 を使用している場合:
- タスク バーで、[スタート] ボタンをクリックし、[管理ツール]、[インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。
Windows Vista または Windows 7 を使用している場合:
- タスク バーで、[スタート]、[コントロール パネル] の順にクリックします。
- [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。
[接続] ウィンドウでサーバー名を展開し、[サイト] ノードを展開してから、サイトの名前をクリックします。
[SSL ポリシー] で、次のいずれかのオプションを選択します。
[SSL 接続を許可する]:FTP サーバーがクライアントとの非 SSL 接続と SSL 接続の両方をサポートできるようにします。
[SSL 接続が必要]:FTP サーバーとクライアントとの間の通信に SSL 暗号化を必要とします。
カスタム: コントロール チャネルとデータ チャネルに対して異なる SSL 暗号化ポリシーを構成できるようにします。 このオプションを選択した場合は、[詳細設定...] ボタンをクリックしてください。 [SSL ポリシーの詳細設定] ダイアログ ボックスが開いたら、次のオプションを選択します。
[コントロール チャネル] で、コントロール チャネルの SSL 暗号化に対して次のいずれかのオプションを選択します。
- 許可: コントロール チャネルに対して SSL が許可されることを指定します。FTP クライアントは、コントロール チャネルに SSL を使用できますが、必須ではありません。
- 必要: コントロール チャネルに SSL が必要であることを指定します。FTP クライアントは、コントロール チャネルに対する通信をセキュリティで保護されていないモードに切り替えることができません。
- 資格情報に対してのみ必要: ユーザー資格情報のみを SSL セッション経由で送信する必要があることを指定します。FTP クライアントはユーザー名とパスワードに SSL を使用する必要がありますが、クライアントはログイン後にコントロール チャネルに SSL を使用する必要はありません。
[データ チャネル] で、データ チャネルの SSL 暗号化に対して次のいずれかのオプションを選択します。
- 許可: データ チャネルに対して SSL が許可されます。FTP クライアントは、データ チャネルに SSL を使用できますが、必須ではありません。
- 必要: データ チャネルに SSL が必要です。FTP クライアントは、データ チャネルに対する通信をセキュリティで保護されていないモードに切り替えることができません。
- 拒否: データ チャネルに対して SSL が拒否されます。FTP クライアントは、データ チャネルに SSL を使用できません。
[OK] をクリックして [SSL ポリシーの詳細設定] ダイアログ ボックスを閉じます。
[操作] ウィンドウで、[適用] をクリックします。
構成
<ssl>
要素は、サイト レベルで構成されます。
属性
属性 | 説明 | ||||||||
---|---|---|---|---|---|---|---|---|---|
controlChannelPolicy |
省略可能な列挙型属性。 FTP コントロール チャネルの SSL ポリシーを指定します。 注: コマンド チャネルの SSL を拒否する列挙値はありません。SSL を拒否するには、 serverCertHash 属性で証明書ハッシュを指定することによる、SSL 証明書の FTP サイトへのバインドを行わないようにします。
SslRequire です。 |
||||||||
dataChannelPolicy |
省略可能な列挙型属性。 FTP データ チャネルの SSL ポリシーを指定します。
SslRequire です。 |
||||||||
serverCertHash |
省略可能な文字列属性。 SSL 接続に使用するサーバー側証明書の拇印ハッシュを指定します。 既定値はありません。 |
||||||||
serverCertStoreName |
省略可能な文字列属性。 サーバー SSL 証明書の証明書ストアを指定します。 既定値は MY です。 |
||||||||
ssl128 |
省略可能で、 Boolean 型の属性。 128 ビット SSL が必要かどうかを指定します。 既定値は false です。 |
子要素
なし。
構成サンプル
次のサンプルは、FTP サイトの <ftpServer>
要素のいくつかの構成設定を示しています。 具体的には、この例の <site>
設定は、次の方法を示します。
- FTP サイトを作成し、ポート 21 に FTP プロトコルのバインドを追加します。
- 証明書を使用して、コントロール チャネルとデータ チャネルの両方でセキュリティで保護されたアクセスを許可するように FTP SSL オプションを構成します。
- FTP に対して [匿名認証] を無効にして、[基本認証] を有効にします。
- FTP SYST コマンドのアクセスを拒否します。
- UNIX のディレクトリの一覧形式を指定します。
- ログのオプションを構成します。
- カスタマイズされたウェルカム メッセージを指定し、ローカルの詳細なエラー メッセージを有効にします。
- 開始時にログイン名に基づくホーム ディレクトリをユーザーに表示するように指定します。ただし、そのディレクトリが存在する場合に限ります。
<site name="ftp.example.com" id="5">
<application path="/">
<virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
</application>
<bindings>
<binding protocol="ftp" bindingInformation="*:21:" />
</bindings>
<ftpServer>
<security>
<ssl controlChannelPolicy="SslAllow"
dataChannelPolicy="SslAllow"
serverCertHash="57686f6120447564652c2049495320526f636b73" />
<authentication>
<basicAuthentication enabled="true" />
<anonymousAuthentication enabled="false" />
</authentication>
<commandFiltering maxCommandLine="4096" allowUnlisted="true">
<add command="SYST" allowed="false" />
</commandFiltering>
</security>
<directoryBrowse showFlags="StyleUnix" />
<logFile logExtFileFlags="Date, Time, ClientIP, UserName, ServerIP, Method, UriStem, FtpStatus, Win32Status, ServerPort, FtpSubStatus, Session, FullPath, Info" />
<messages expandVariables="true"
greetingMessage="Welcome %UserName%!"
allowLocalDetailedErrors="true" />
<userIsolation mode="StartInUsersDirectory" />
</ftpServer>
</site>
サンプル コード
次の例は、データ チャネルとコントロール チャネルの両方に対して SSL を要求するように FTP サイトを構成します。
AppCmd.exe
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost
Note
AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost
に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
if (siteElement == null) throw new InvalidOperationException("Element not found!");
ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
sslElement["serverCertHash"] = @"57686f6120447564652c2049495320526f636b73";
sslElement["controlChannelPolicy"] = @"SslRequire";
sslElement["dataChannelPolicy"] = @"SslRequire";
serverManager.CommitChanges();
}
}
private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
{
foreach (ConfigurationElement element in collection)
{
if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
{
bool matches = true;
for (int i = 0; i < keyValues.Length; i += 2)
{
object o = element.GetAttributeValue(keyValues[i]);
string value = null;
if (o != null)
{
value = o.ToString();
}
if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
{
matches = false;
break;
}
}
if (matches)
{
return element;
}
}
}
return null;
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection
Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
If (siteElement Is Nothing) Then
Throw New InvalidOperationException("Element not found!")
End If
Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")
Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
sslElement("controlChannelPolicy") = "SslRequire"
sslElement("dataChannelPolicy") = "SslRequire"
serverManager.CommitChanges()
End Sub
Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
For Each element As ConfigurationElement In collection
If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
Dim matches As Boolean = True
Dim i As Integer
For i = 0 To keyValues.Length - 1 Step 2
Dim o As Object = element.GetAttributeValue(keyValues(i))
Dim value As String = Nothing
If (Not (o) Is Nothing) Then
value = o.ToString
End If
If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
matches = False
Exit For
End If
Next
If matches Then
Return element
End If
End If
Next
Return Nothing
End Function
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);
if (siteElementPos == -1) throw "Element not found!";
var siteElement = sitesCollection.Item(siteElementPos);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire";
adminManager.CommitChanges();
function FindElement(collection, elementTagName, valuesToMatch) {
for (var i = 0; i < collection.Count; i++) {
var element = collection.Item(i);
if (element.Name == elementTagName) {
var matches = true;
for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
var property = element.GetPropertyByName(valuesToMatch[iVal]);
var value = property.Value;
if (value != null) {
value = value.toString();
}
if (value != valuesToMatch[iVal + 1]) {
matches = false;
break;
}
}
if (matches) {
return i;
}
}
}
return -1;
}
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))
If siteElementPos = -1 Then
Wscript.Echo "Element not found!"
WScript.Quit
End If
Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire"
adminManager.CommitChanges()
Function FindElement(collection, elementTagName, valuesToMatch)
For i = 0 To CInt(collection.Count) - 1
Set element = collection.Item(i)
If element.Name = elementTagName Then
matches = True
For iVal = 0 To UBound(valuesToMatch) Step 2
Set property = element.GetPropertyByName(valuesToMatch(iVal))
value = property.Value
If Not IsNull(value) Then
value = CStr(value)
End If
If Not value = CStr(valuesToMatch(iVal + 1)) Then
matches = False
Exit For
End If
Next
If matches Then
Exit For
End If
End If
Next
If matches Then
FindElement = i
Else
FindElement = -1
End If
End Function
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示