次の方法で共有

既定の FTP over SSL 設定 <ssl>

概要

<ssl> 要素は、FTP サービスの FTP over Secure Sockets Layer (SSL) 設定を指定します。FTP over SSL は、FTP 7.0 の IIS 7 に初めて導入されました。

通信をセキュリティで保護する (HTTPS) ために別のポートと接続が必要な HTTP over SSL を使用するのとは異なり、セキュリティで保護された FTP 通信は、セキュリティで保護されていない通信と同じポートで行われます。 FTP 7 は、次の 2 つの異なる形式の FTP over SSL をサポートしています。

  • 明示的 FTPS: 既定では、FTP サイトとクライアントはコントロール チャネルにポート 21 を使用し、サーバーとクライアントはデータ チャネル接続のセカンダリ ポートをネゴシエートします。 一般的な FTP 要求では、FTP クライアントがコントロール チャネル経由で FTP サイトに接続すると、SSL/TLS をコントロール チャネルまたはデータ チャネルのサーバーとネゴシエートできるようになります。 FTP 7 を使用するときに、FTPS を有効にし、FTP サイトをポート 990 以外の任意のポートに割り当てると、明示的 SSL を使用することになります。
  • 暗黙的 FTPS: 暗黙的 FTPS は、FTP over SSL の古い形式で、FTP 7 で引き続きサポートされています。 暗黙的 FTPS では、クライアントから FTP コマンドを送信するには、SSL ハンドシェイクをネゴシエートする必要があります。 さらに、明示的 FTPS を使用すると、クライアントは SSL を使用するかどうかを任意に決定できますが、暗黙的 FTPS は、FTP セッション全体を暗号化することを必要とします。 FTP 7 を使用するときに、FTPS を有効にし、FTP サイトをポート 990 に割り当てると、暗黙的 SSL を使用することになります。

controlChannelPolicy 属性と dataChannelPolicy 属性で構成するセキュリティ オプションに応じて、1 つの明示的 FTPS セッションで、FTP クライアントのセキュリティ保護の有無を複数回切り替えることができます。 これを実装する方法は、ビジネス ニーズに応じて次のようにいくつか考えられます。

controlChannelPolicy dataChannelPolicy メモ
SslAllow SslAllow この構成を使用すると、クライアントが FTP セッションの任意の部分を暗号化するかどうかを決定できます。
SslRequireCredentialsOnly SslAllow この構成を使用すると、FTP クライアントの資格情報が電子傍受から保護され、クライアントがデータ転送を暗号化するかどうかを決定できます。
SslRequireCredentialsOnly SslRequire この構成を使用すると、クライアントの資格情報をセキュリティで保護する必要があり、保護すると、クライアントが FTP コマンドを暗号化するかどうかを決定できます。 ただし、すべてのデータ転送は暗号化する必要があります。
SslRequire SslRequire この構成は最も安全です。他の FTP コマンドを許可する前に、クライアントが FTPS 関連コマンドを使用して SSL をネゴシエートする必要があり、すべてのデータ転送を暗号化する必要があります。

互換性

バージョン メモ
IIS 10.0 <ssl> 要素は IIS 10.0 では変更されませんでした。
IIS 8.5 <ssl> 要素は IIS 8.5 では変更されませんでした。
IIS 8.0 <ssl> 要素は IIS 8.0 では変更されませんでした。
IIS 7.5 <security> 要素の <ssl> 要素は、IIS 7.5 の機能として付属しています。
IIS 7.0 <security> 要素の <ssl> 要素が、IIS 7.0 用の別個のダウンロードとして FTP 7.0 で導入されました。
IIS 6.0 IIS 6.0 の FTP サービスは、SSL 経由の FTP をサポートしませんでした。

Note

FTP 7.0 サービスと FTP 7.5 サービスは IIS 7.0 とは別に出荷され、次の URL からモジュールをダウンロードしてインストールする必要がありました。

https://www.iis.net/expand/FTP

Windows 7 と Windows Server 2008 R2 では、FTP 7.5 サービスは IIS 7.5 の機能として付属しているため、FTP サービスのダウンロードは必要なくなりました。

段取り

Web サーバーの FTP 公開をサポートするには、FTP サービスをインストールする必要があります。 そのためには、次のステップに従います。

Windows Server 2012 または Windows Server 2012 R2

  1. タスク バーで [サーバー マネージャー]をクリックします。

  2. [サーバー マネージャー] で、[管理] メニューを選択し、[役割と機能の追加] を選択します。

  3. [役割と機能の追加] ウィザードで、[次へ] をクリックします。 インストールの種類を選択し、[次へ] をクリックします。 対象サーバーを選択し、[次へ] をクリックします。

  4. [サーバーの役割] ページで、[Web サーバー (IIS)] を展開して、[FTP サーバー] を選びます。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP Service] に加えて[FTP 拡張] も選択する必要があります。
    Windows Server 2012 で選択されている F T P 拡張機能を示すスクリーンショット。 .

  5. [次へ] をクリックし、[機能の選択] ページで再度 [次へ] をクリックします。

  6. [インストール オプションの確認] ページで、[インストール] をクリックします。

  7. [結果] ページで、 [閉じる]をクリックします。

Windows 8 または Windows 8.1

  1. [スタート] 画面で、ポインターを左下隅まで移動し、[スタート] ボタンを右クリックし、[コントロール パネル] をクリックします。

  2. [コントロール パネル][プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。

  3. [インターネット インフォメーション サービス] を展開し、[FTP サーバー] を展開します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    Windows 8 で選択されている F T P 拡張機能を示すスクリーンショット。

  4. OK をクリックします。

  5. 閉じるをクリックします。

Windows Server 2008 R2

  1. タスク バーで [スタート] をクリックし、[管理ツール] をポイントして、[サーバー マネージャ] をクリックします。

  2. [サーバー マネージャ] 階層ウィンドウで [役割] を展開し、[Web サーバー (IIS)] をクリックします。

  3. [Web サーバー (IIS)] ウィンドウで、[役割サービス] セクションまでスクロールし、[役割サービスの追加] をクリックします。

  4. [役割サービスの追加] ウィザード[役割サービスの選択] ページで [FTP サーバー] を展開します。

  5. [FTP Service] を選択します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    Windows Server 2008 で選択されている F T P サービスと拡張機能を示すスクリーンショット。

  6. 次へ をクリックします。

  7. [インストール オプションの確認] ページで、[インストール] をクリックします。

  8. [結果] ページで、 [閉じる]をクリックします。

Windows 7

  1. タスク バーで、[スタート][コントロール パネル] の順にクリックします。

  2. [コントロール パネル][プログラムと機能] をクリックし、[Windows の機能の有効化または無効化] をクリックします。

  3. [インターネット インフォメーション サービス][FTP サーバー] の順に展開します。

  4. [FTP Service] を選択します。

    Note

    FTP サービスに対して ASP.NET メンバーシップ認証または IIS マネージャー認証をサポートするには、[FTP 拡張] も選択する必要があります。
    Windows 7 で選択されている F T P 拡張機能を示すスクリーンショット。

  5. OK をクリックします。

Windows Server 2008 または Windows Vista

  1. 次の URL からインストール パッケージをダウンロードします。

  2. 次のチュートリアルの手順に従って、FTP サービスをインストールします。

操作方法

FTP サーバーの既定の SSL オプションを構成する方法

  1. インターネット インフォメーション サービス (IIS) マネージャーを開きます。

    • Windows Server 2012 または Windows Server 2012 R2 を使用している場合:

      • タスク バーで、[サーバー マネージャー] をクリックし、[ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows 8 または Windows 8.1 を使用している場合:

      • Windows キーを押しながら文字 X を押し、[コントロール パネル] をクリックします。
      • [管理ツール] をクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

    • Windows Server 2008 または Windows Server 2008 R2 を使用している場合:

      • タスク バーで、[スタート] ボタンをクリックし、[管理ツール][インターネット インフォメーション サービス (IIS) マネージャー] の順にクリックします。

    • Windows Vista または Windows 7 を使用している場合:

      • タスク バーで、[スタート][コントロール パネル] の順にクリックします。
      • [管理ツール] をダブルクリックし、[インターネット インフォメーション サービス (IIS) マネージャー] をダブルクリックします。

  2. [接続] ペインでサーバー名をクリックします。

  3. サーバーの [ホーム] ペインで、[FTP の SSL 設定] 機能をダブルクリックします。
    [F T P S S L の設定] が選択されていることを示すスクリーンショット。

  4. [SSL 証明書] の一覧から、FTP サーバーへの接続に使用する証明書を選びます。
    [F T P S S L の設定] ウィンドウを示すスクリーンショット。[ALLOW S S L connections]\(S S L 接続を許可する\) が選択されています。

  5. [SSL ポリシー] で、次のいずれかのオプションを選択します。

    • [SSL 接続を許可する]:FTP サーバーがクライアントとの非 SSL 接続と SSL 接続の両方をサポートできるようにします。

    • [SSL 接続が必要]:FTP サーバーとクライアントとの間の通信に SSL 暗号化を必要とします。

    • カスタム: コントロール チャネルとデータ チャネルに対して異なる SSL 暗号化ポリシーを構成できるようにします。 このオプションを選択した場合は、[詳細設定...] ボタンをクリックしてください。 [SSL ポリシーの詳細設定] ダイアログ ボックスが開いたら、次のオプションを選択します。

      • [コントロール チャネル] で、コントロール チャネルの SSL 暗号化に対して次のいずれかのオプションを選択します。

        • 許可: コントロール チャネルに対して SSL が許可されることを指定します。FTP クライアントは、コントロール チャネルに SSL を使用できますが、必須ではありません。
        • 必要: コントロール チャネルに SSL が必要であることを指定します。FTP クライアントは、コントロール チャネルに対する通信をセキュリティで保護されていないモードに切り替えることができません。
        • 資格情報に対してのみ必要: ユーザー資格情報のみを SSL セッション経由で送信する必要があることを指定します。FTP クライアントはユーザー名とパスワードに SSL を使用する必要がありますが、クライアントはログイン後にコントロール チャネルに SSL を使用する必要はありません。

      • [データ チャネル] で、データ チャネルの SSL 暗号化に対して次のいずれかのオプションを選択します。

        • 許可: データ チャネルに対して SSL が許可されます。FTP クライアントは、データ チャネルに SSL を使用できますが、必須ではありません。
        • 必要: データ チャネルに SSL が必要です。FTP クライアントは、データ チャネルに対する通信をセキュリティで保護されていないモードに切り替えることができません。
        • 拒否: データ チャネルに対して SSL が拒否されます。FTP クライアントは、データ チャネルに SSL を使用できません。

      • [OK] をクリックして [SSL ポリシーの詳細設定] ダイアログ ボックスを閉じます。

  6. [操作] ウィンドウで、[適用] をクリックします。

構成

属性

属性 説明
controlChannelPolicy 省略可能な列挙型属性。

FTP コントロール チャネルの SSL ポリシーを指定します。

注: コマンド チャネルの SSL を拒否する列挙値はありません。SSL を拒否するには、serverCertHash 属性で証明書ハッシュを指定することによる、SSL 証明書の FTP サイトへのバインドを行わないようにします。
Value 説明
SslAllow コントロール チャネルに対して SSL を許可することを指定します。

数値は 0 です。
SslRequire コントロール チャネルに対して SSL が必要であることを指定します。

数値は 1 です。
SslRequireCredentialsOnly "USER" コマンドと "PASS" コマンドのみを SSL セッション経由で送信する必要があることを指定します。 FTP クライアントがログインした後、クライアントは非セキュア モードに切り替えることができます。

数値は 2 です。
既定値は SslRequire です。
dataChannelPolicy 省略可能な列挙型属性。

FTP データ チャネルの SSL ポリシーを指定します。
Value 説明
SslAllow データ チャネルに対して SSL を許可することを指定します。

数値は 0 です。
SslRequire データ チャネルに対して SSL が必要であることを指定します。

数値は 1 です。
SslDeny データ チャネルに対して SSL が拒否されることを指定します。

数値は 2 です。
既定値は SslRequire です。
serverCertHash 省略可能な文字列属性。

SSL 接続に使用するサーバー側証明書の拇印ハッシュを指定します。

既定値はありません。
serverCertStoreName 省略可能な文字列属性。

サーバー SSL 証明書の証明書ストアを指定します。

既定値は MY です。
ssl128 省略可能で、 Boolean 型の属性。

128 ビット SSL が必要かどうかを指定します。

既定値は false です。

子要素

なし。

構成サンプル

次の構成サンプルは、FTP サービスのコントロール チャネルとデータ チャネルで SSL アクセスを既定で有効にする方法を示しています。

SSL 構成の例 (temp desc)。

<siteDefaults>
   <ftpServer>
      <security>
         <ssl controlChannelPolicy="SslAllow" dataChannelPolicy="SslAllow" serverCertHash="57686f6120447564652c2049495320526f636b73"/>
      </security>
   </ftpServer>
</siteDefaults>

サンプル コード

次のサンプルは、FTP サービスのコントロール チャネルとデータ チャネルで SSL アクセスを既定で有効にする方法を示しています。

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.controlChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.dataChannelPolicy:"SslAllow" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites /siteDefaults.ftpServer.security.ssl.serverCertHash:"57686f6120447564652c2049495320526f636b73" /commit:apphost

Note

AppCmd.exe を使用してこれらの設定を構成するときは、commit パラメーターを必ず apphost に設定する必要があります。 これで、ApplicationHost.config ファイルの適切な場所セクションに構成設定がコミットされます。

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement sslElement = securityElement.GetChildElement("ssl");
            sslElement["controlChannelPolicy"] = @"SslAllow";
            sslElement["dataChannelPolicy"] = @"SslAllow";
            sslElement["serverCertHash"] = "57686f6120447564652c2049495320526f636b73";

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
      Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
      Dim sslElement As ConfigurationElement = securityElement.GetChildElement("ssl")
         sslElement("controlChannelPolicy") = "SslAllow"
         sslElement("dataChannelPolicy") = "SslAllow"
         sslElement("serverCertHash") = "57686f6120447564652c2049495320526f636b73"
      
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var sslElement = securityElement.ChildElements.Item("ssl");
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow";
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73";

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set sslElement = securityElement.ChildElements.Item("ssl")
   sslElement.Properties.Item("controlChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("dataChannelPolicy").Value = "SslAllow"
   sslElement.Properties.Item("serverCertHash").Value = "57686f6120447564652c2049495320526f636b73"

adminManager.CommitChanges()