次の方法で共有

FTP over SSL <ssl>

  • [アーティクル]

概要

<ssl> 要素は、FTP サービスの FTP over Secure Sockets Layer (SSL) 設定を指定します。FTP over SSL は、FTP 7.0 の IIS 7 に初めて導入されました。

通信をセキュリティで保護する (HTTPS) ために別のポートと接続が必要な HTTP over SSL を使用するのとは異なり、セキュリティで保護された FTP 通信は、セキュリティで保護されていない通信と同じポートで行われます。 FTP 7 は、次の 2 つの異なる形式の FTP over SSL をサポートしています。

  • 明示的 FTPS: 既定では、FTP サイトとクライアントはコントロール チャネルにポート 21 を使用し、サーバーとクライアントはデータ チャネル接続のセカンダリ ポートをネゴシエートします。 一般的な FTP 要求では、FTP クライアントがコントロール チャネル経由で FTP サイトに接続すると、SSL/TLS をコントロール チャネルまたはデータ チャネルのサーバーとネゴシエートできるようになります。 FTP 7 を使用するときに、FTPS を有効にし、FTP サイトをポート 990 以外の任意のポートに割り当てると、明示的 SSL を使用することになります。
  • 暗黙的 FTPS: 暗黙的 FTPS は、FTP over SSL の古い形式で、FTP 7 で引き続きサポートされています。 暗黙的 FTPS では、クライアントから FTP コマンドを送信するには、SSL ハンドシェイクをネゴシエートする必要があります。 さらに、明示的 FTPS を使用すると、クライアントは SSL を使用するかどうかを任意に決定できますが、暗黙的 FTPS は、FTP セッション全体を暗号化することを必要とします。 FTP 7 を使用するときに、FTPS を有効にし、FTP サイトをポート 990 に割り当てると、暗黙的 SSL を使用することになります。

controlChannelPolicy 属性と dataChannelPolicy 属性で構成するセキュリティ オプションに応じて、1 つの明示的 FTPS セッションで、FTP クライアントのセキュリティ保護の有無を複数回切り替えることができます。 これを実装する方法は、ビジネス ニーズに応じて次のようにいくつか考えられます。

controlChannelPolicy dataChannelPolicy メモ
SslAllow SslAllow この構成を使用すると、クライアントが FTP セッションの任意の部分を暗号化するかどうかを決定できます。
SslRequireCredentialsOnly SslAllow この構成を使用すると、FTP クライアントの資格情報が電子傍受から保護され、クライアントがデータ転送を暗号化するかどうかを決定できます。
SslRequireCredentialsOnly SslRequire この構成を使用すると、クライアントの資格情報をセキュリティで保護する必要があり、保護すると、クライアントが FTP コマンドを暗号化するかどうかを決定できます。 ただし、すべてのデータ転送は暗号化する必要があります。
SslRequire SslRequire この構成は最も安全です。他の FTP コマンドを許可する前に、クライアントが FTPS 関連コマンドを使用して SSL をネゴシエートする必要があり、すべてのデータ転送を暗号化する必要があります。

互換性

バージョン メモ
IIS 10.0 <ssl> 要素は IIS 10.0 では変更されませんでした。
IIS 8.5 <ssl> 要素は IIS 8.5 では変更されませんでした。
IIS 8.0 <ssl> 要素は IIS 8.0 では変更されませんでした。
IIS 7.5 <security> 要素の <ssl> 要素は、IIS 7.5 の機能として付属しています。
IIS 7.0 <security> 要素の <ssl> 要素が、IIS 7.0 用の別個のダウンロードとして FTP 7.0 で導入されました。
IIS 6.0 IIS 6.0 の FTP サービスは、SSL 経由の FTP をサポートしませんでした。

Note

FTP 7.0 サービスと FTP 7.5 サービスは IIS 7.0 とは別に出荷され、次の URL からモジュールをダウンロードしてインストールする必要がありました。

https://www.iis.net/expand/FTP

Windows 7 と Windows Server 2008 R2 では、FTP 7.5 サービスは IIS 7.5 の機能として付属しているため、FTP サービスのダウンロードは必要なくなりました。

段取り

Web サーバーの FTP 公開をサポートするには、FTP サービスをインストールする必要があります。 そのためには、次のステップに従います。

Windows Server 2012 または Windows Server 2012 R2

  1. タスク バーで [サーバー マネージャー]をクリックします。

  2. [サーバー マネージャー] で、[管理] メニューをクリックし、[役割と機能の追加] をクリックします。

  3. 役割と機能の追加ウィザードで、[次へ] をクリックします。 [インストールの種類] を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] をクリックします。

  4. [サーバーの役割] ページで、[Web サーバー (IIS)] を展開して、[FTP サーバー] を選びます。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP Service] に加えて[FTP 拡張] も選択する必要があります。
    Screenshot of Web Server I I S and F T P Server pane expanded with F T P Extensibility highlighted.

  5. [次へ] をクリックし、[機能の選択] ページで再度 [次へ] をクリックします。

  6. [インストール オプションの確認] ページで、[インストール] をクリックします。

  7. [結果] ページで、 [閉じる]をクリックします。

Windows 8 または Windows 8.1

  1. [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] をクリックします。

  2. [コントロール パネル][プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。

  3. [インターネット インフォメーション サービス] を展開し、[FTP サーバー] を展開します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    Screenshot of Internet Information Services and F T P Server pane expanded with F T P Extensibility highlighted.

  4. OK をクリックします。

  5. 閉じるをクリックします。

Windows Server 2008 R2

  1. タスク バーで [スタート] をクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。

  2. [サーバー マネージャ] 階層ウィンドウで [役割] を展開し、[Web サーバー (IIS)] をクリックします。

  3. [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] をクリックします。

  4. [役割サービスの追加] ウィザード[役割サービスの選択] ページで [FTP サーバー] を展開します。

  5. [FTP Service] を選択します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    Screenshot of F T P Server expanded with F T P Service selected.

  6. 次へ をクリックします。

  7. [インストール オプションの確認] ページで、[インストール] をクリックします。

  8. [結果] ページで、 [閉じる]をクリックします。

Windows 7

  1. タスク バーで、[スタート][コントロール パネル] の順にクリックします。

  2. [コントロール パネル][プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。

  3. [インターネット インフォメーション サービス][FTP サーバー] の順に展開します。

  4. [FTP Service] を選択します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    Screenshot of Internet Information Services and F T P Server pane expanded with both F T P Extensibility and F T P Service selected.

  5. OK をクリックします。

Windows Server 2008 または Windows Vista

  1. 次の URL からインストール パッケージをダウンロードします。

  2. 次のチュートリアルの手順に従って、FTP サービスをインストールします。

操作方法

FTP サイトの SSL オプションを構成する方法

  1. 次のようにインターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ウィンドウでサーバー名を展開し、[サイト] ノードを展開してから、サイトの名前をクリックします。

  3. サイトの [ホーム] ウィンドウで、[FTP の SSL 設定] 機能をダブルクリックします。
    Screenshot of the site Home pane with F T P S S L Settings highlighted.

  4. [SSL 証明書] の一覧から、FTP サーバーへの接続に使用する証明書を選びます。
    Screenshot of F T P S S L Settings page displaying the field for S S L Certificate and S S L Policy option.

  5. [SSL ポリシー] で、次のいずれかのオプションを選択します。

    • [SSL 接続を許可する]:FTP サーバーがクライアントとの非 SSL 接続と SSL 接続の両方をサポートできるようにします。

    • [SSL 接続が必要]:FTP サーバーとクライアントとの間の通信に SSL 暗号化を必要とします。

    • カスタム: コントロール チャネルとデータ チャネルに対して異なる SSL 暗号化ポリシーを構成できるようにします。 このオプションを選択した場合は、[詳細設定...] ボタンをクリックしてください。 [SSL ポリシーの詳細設定] ダイアログ ボックスが開いたら、次のオプションを選択します。

      • [コントロール チャネル] で、コントロール チャネルの SSL 暗号化に対して次のいずれかのオプションを選択します。

        • 許可: コントロール チャネルに対して SSL が許可されることを指定します。FTP クライアントは、コントロール チャネルに SSL を使用できますが、必須ではありません。
        • 必要: コントロール チャネルに SSL が必要であることを指定します。FTP クライアントは、コントロール チャネルに対する通信をセキュリティで保護されていないモードに切り替えることができません。
        • 資格情報に対してのみ必要: ユーザー資格情報のみを SSL セッション経由で送信する必要があることを指定します。FTP クライアントはユーザー名とパスワードに SSL を使用する必要がありますが、クライアントはログイン後にコントロール チャネルに SSL を使用する必要はありません。

      • [データ チャネル] で、データ チャネルの SSL 暗号化に対して次のいずれかのオプションを選択します。

        • 許可: データ チャネルに対して SSL が許可されます。FTP クライアントは、データ チャネルに SSL を使用できますが、必須ではありません。
        • 必要: データ チャネルに SSL が必要です。FTP クライアントは、データ チャネルに対する通信をセキュリティで保護されていないモードに切り替えることができません。
        • 拒否: データ チャネルに対して SSL が拒否されます。FTP クライアントは、データ チャネルに SSL を使用できません。

      • [OK] をクリックして [SSL ポリシーの詳細設定] ダイアログ ボックスを閉じます。

  6. [操作] ウィンドウで、[適用] をクリックします。

構成

<ssl> 要素は、サイト レベルで構成されます。

属性

属性 説明
controlChannelPolicy 省略可能な列挙型属性。

FTP コントロール チャネルの SSL ポリシーを指定します。

注: コマンド チャネルの SSL を拒否する列挙値はありません。SSL を拒否するには、serverCertHash 属性で証明書ハッシュを指定することによる、SSL 証明書の FTP サイトへのバインドを行わないようにします。
Value 説明
SslAllow コントロール チャネルに対して SSL を許可することを指定します。

数値は 0 です。
SslRequire コントロール チャネルに対して SSL が必要であることを指定します。

数値は 1 です。
SslRequireCredentialsOnly "USER" コマンドと "PASS" コマンドのみを SSL セッション経由で送信する必要があることを指定します。 FTP クライアントがログインした後、クライアントは非セキュア モードに切り替えることができます。

数値は 2 です。
既定値は SslRequire です。
dataChannelPolicy 省略可能な列挙型属性。

FTP データ チャネルの SSL ポリシーを指定します。
Value 説明
SslAllow データ チャネルに対して SSL を許可することを指定します。

数値は 0 です。
SslRequire データ チャネルに対して SSL が必要であることを指定します。

数値は 1 です。
SslDeny データ チャネルに対して SSL が拒否されることを指定します。

数値は 2 です。
既定値は SslRequire です。
serverCertHash 省略可能な文字列属性。

SSL 接続に使用するサーバー側証明書の拇印ハッシュを指定します。

既定値はありません。
serverCertStoreName 省略可能な文字列属性。

サーバー SSL 証明書の証明書ストアを指定します。

既定値は MY です。
ssl128 省略可能で、 Boolean 型の属性。

128 ビット SSL が必要かどうかを指定します。

既定値は false です。

子要素

なし。

構成サンプル

次のサンプルは、FTP サイトの <ftpServer> 要素のいくつかの構成設定を示しています。 具体的には、この例の <site> 設定は、次の方法を示します。

  • FTP サイトを作成し、ポート 21 に FTP プロトコルのバインドを追加します。
  • 証明書を使用して、コントロール チャネルとデータ チャネルの両方でセキュリティで保護されたアクセスを許可するように FTP SSL オプションを構成します。
  • FTP に対して [匿名認証] を無効にして、[基本認証] を有効にします。
  • FTP SYST コマンドのアクセスを拒否します。
  • UNIX のディレクトリの一覧形式を指定します。
  • ログのオプションを構成します。
  • カスタマイズされたウェルカム メッセージを指定し、ローカルの詳細なエラー メッセージを有効にします。
  • 開始時にログイン名に基づくホーム ディレクトリをユーザーに表示するように指定します。ただし、そのディレクトリが存在する場合に限ります。
<site name="ftp.example.com" id="5">
  <application path="/">
    <virtualDirectory path="/" physicalPath="c:\inetpub\www.example.com" />
  </application>
  <bindings>
    <binding protocol="ftp" bindingInformation="*:21:" />
  </bindings>
  <ftpServer>
    <security>
      <ssl controlChannelPolicy="SslAllow"
         dataChannelPolicy="SslAllow"
         serverCertHash="57686f6120447564652c2049495320526f636b73" />
      <authentication>
        <basicAuthentication enabled="true" />
        <anonymousAuthentication enabled="false" />
      </authentication>
      <commandFiltering maxCommandLine="4096" allowUnlisted="true">
        <add command="SYST" allowed="false" />
      </commandFiltering>
    </security>
    <directoryBrowse showFlags="StyleUnix" />
    <logFile logExtFileFlags="Date, Time, ClientIP, UserName, ServerIP, Method, UriStem, FtpStatus, Win32Status, ServerPort, FtpSubStatus, Session, FullPath, Info" />
    <messages expandVariables="true"
       greetingMessage="Welcome %UserName%!"
       allowLocalDetailedErrors="true" />
    <userIsolation mode="StartInUsersDirectory" />
  </ftpServer>
</site>

サンプル コード

次の例は、データ チャネルとコントロール チャネルの両方に対して SSL を要求するように FTP サイトを構成します。

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.controlChannelPolicy:"SslRequire" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /[name='ftp.example.com'].ftpServer.security.ssl.dataChannelPolicy:"SslRequire" /commit:apphost

Note

AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();

         ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"ftp.example.com");
         if (siteElement == null) throw new InvalidOperationException("Element not found!");

         ConfigurationElement ftpServerElement = siteElement.GetChildElement("ftpServer");
         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");

         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
         sslElement["serverCertHash"] = @"57686f6120447564652c2049495320526f636b73";
         sslElement["controlChannelPolicy"] = @"SslRequire";
         sslElement["dataChannelPolicy"] = @"SslRequire";

         serverManager.CommitChanges();
      }
   }
   
   private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
   {
      foreach (ConfigurationElement element in collection)
      {
         if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
         {
            bool matches = true;
            for (int i = 0; i < keyValues.Length; i += 2)
            {
               object o = element.GetAttributeValue(keyValues[i]);
               string value = null;
               if (o != null)
               {
                  value = o.ToString();
               }
               if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
               {
                  matches = false;
                  break;
               }
            }
            if (matches)
            {
               return element;
            }
         }
      }
      return null;
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection

      Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "ftp.example.com")
      If (siteElement Is Nothing) Then
         Throw New InvalidOperationException("Element not found!")
      End If

      Dim ftpServerElement As ConfigurationElement = siteElement.GetChildElement("ftpServer")
      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")

      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
      sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      sslElement("controlChannelPolicy") = "SslRequire"
      sslElement("dataChannelPolicy") = "SslRequire"

      serverManager.CommitChanges()
   End Sub

   Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
      For Each element As ConfigurationElement In collection
         If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
            Dim matches As Boolean = True
            Dim i As Integer
            For i = 0 To keyValues.Length - 1 Step 2
               Dim o As Object = element.GetAttributeValue(keyValues(i))
               Dim value As String = Nothing
               If (Not (o) Is Nothing) Then
                  value = o.ToString
               End If
               If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
                  matches = False
                  Exit For
               End If
            Next
            If matches Then
               Return element
            End If
         End If
      Next
      Return Nothing
   End Function


End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "ftp.example.com"]);

if (siteElementPos == -1) throw "Element not found!";

var siteElement = sitesCollection.Item(siteElementPos);
var ftpServerElement = siteElement.ChildElements.Item("ftpServer");
var securityElement = ftpServerElement.ChildElements.Item("security");

var sslElement = securityElement.ChildElements.Item("ssl");
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire";
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire";

adminManager.CommitChanges();

function FindElement(collection, elementTagName, valuesToMatch) {
   for (var i = 0; i < collection.Count; i++) {
      var element = collection.Item(i);
      if (element.Name == elementTagName) {
         var matches = true;
         for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2) {
            var property = element.GetPropertyByName(valuesToMatch[iVal]);
            var value = property.Value;
            if (value != null) {
               value = value.toString();
            }
            if (value != valuesToMatch[iVal + 1]) {
               matches = false;
               break;
            }
         }
         if (matches) {
            return i;
         }
      }
   }
   return -1;
}

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "ftp.example.com"))

If siteElementPos = -1 Then
Wscript.Echo "Element not found!"
WScript.Quit
End If

Set siteElement = sitesCollection.Item(siteElementPos)
Set ftpServerElement = siteElement.ChildElements.Item("ftpServer")
Set securityElement = ftpServerElement.ChildElements.Item("security")

Set sslElement = securityElement.ChildElements.Item("ssl")
sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"
sslElement.Properties.Item("controlChannelPolicy").Value = "SslRequire"
sslElement.Properties.Item("dataChannelPolicy").Value = "SslRequire"

adminManager.CommitChanges()

Function FindElement(collection, elementTagName, valuesToMatch)
   For i = 0 To CInt(collection.Count) - 1
      Set element = collection.Item(i)
      If element.Name = elementTagName Then
         matches = True
         For iVal = 0 To UBound(valuesToMatch) Step 2
            Set property = element.GetPropertyByName(valuesToMatch(iVal))
            value = property.Value
            If Not IsNull(value) Then
               value = CStr(value)
            End If
            If Not value = CStr(valuesToMatch(iVal + 1)) Then
               matches = False
               Exit For
            End If
         Next
         If matches Then
            Exit For
         End If
      End If
   Next
   If matches Then
      FindElement = i
   Else
      FindElement = -1
   End If
End Function