「IIS」カテゴリーアーカイブ

[IIS]FTPS(FTPES)の構築

概要

FTPSとは:FTPの認証で送信されるユーザ名とパスワードの電文は、暗号化されていない状態(クリアテキスト)であるため、第三者に盗聴・侵入される危険性がある。FTPSはその危険性を回避するために制定された。

Windows Server 2008 IIS7 より FTPS が利用可能になったのでさっそく使ってみよう

※下記の記述は NAT配下(ルーターRTX1100)にサーバーがある環境として説明している

前準備

IISの設定

  1. IISマネージャにて,サーバーの[FTPファイアウォールのサポート] – [データチャンネルポートの範囲]を指定する
    2016-09-21_132650
    ■[サイト] の管理ではデータチャンネルのポート範囲設定はできない。サーバーを指定した状態で行う
    ■このデータポートの範囲で,クライアントとデータ通信を行うこととなる。後にルーターでポート開放(ポートマッピングを行う)
  2. サイトを指定して,[FTPファイアウォールのサポート] – [ファイアウォールの外部IPアドレス] を入力する。このIPアドレスはグローバルIPアドレスとなる。つまりルーターの外側アドレスである。2016-09-21_133201
  3. サイトの [FTPのSSL設定] にて SSL証明書,SSLポリシーを指定する
    2016-09-21_133615

ルーターの設定

今回の環境はルーター配下にサーバーを設置しているため,NAT越えが必要となる。必ずルーターの設定は必要となる。

  • TCP ポート 21  の開放(マッピング)をする。FTPサイトのバインドでポートを変更している場合はそれに準ずる
  • IISの設定手順1で指定したポート範囲の開放(マッピング)をする
  • 関係するパケットフィルターの調整 TCP21とデータチャンネルポートなど

Windows ファイアウォールの設定

以下の受信規則をOKにしておく

2016-09-21_134425

FTPサーバー,FTPサーバーセキュリティ,FTPサーバーパッシブ

クライアント接続設定

以下のモーでなければ接続できないので注意

  • PASV (パッシブ)モード
  • Explict (FTPES) モード
  • 接続はサーバー側のグローバルIP (IISの設定手順2と同じ)かドメイン名。IISサーバーと同じLAN内のクライアントから接続する場合,直接IISサーバーのローカルIPアドレスを指定しても接続できない

備考

検証した環境はIISはNAT配下にある。IISサーバーそのものにグローバルIPを設定できるのであればもっと単純に構築できる

プロパティ

Windows Server 2008

IIS7.0

RTX1100

FFFTP 1.99a

解決しましたら、いいね か ツイート をお願いします

[IIS]SSLBOXによるLet’s Encrypt 証明書を導入し無料でHTTPSを構築

SSLBOXにて証明書関係のファイルを取得

SSL BOX http://www.sslbox.jp/

必要な諸手続きを済ませて,下記の3のファイルをダウンロードする

  • CERT(SSL証明書)
  • 中間証明書
  • 秘密鍵

sslbox

OpenSLL にてpfxファイルの作成

※SSLBOXの説明では IIS にて直接証明書ファイルのインポートが可能となっているが,IIS管理ツールのバグなのかインポートしても保存されずWEBサイトに適用できない。それで pfx ファイルにて作業を進めることができるようにする

pfx ファイルを作成するために,OPEN SSL のソフトを必要とする。以下からダウンロード

http://slproweb.com/products/Win32OpenSSL.html

32bit 版 と 64bit版がある。PCにあわせてどちらか

openssl

インストールする。▼最後はすべてのチェックを外しておく

openssl_setup

コマンドプロンプトにて

cd C:\OpenSSL-Win64\bin  に移動 (32bit版であれば win32)

openssl pkcs12 -export -out PFXファイル名(任意).pfx -inkey 秘密鍵ファイル名 -in 証明書ファイル名 -certfile 中間証明書ファイル名

例) openssl pkcs12 -export -out F:\temp\tksoft.pfx -inkey F:\temp\LETSENCRYPT1104486.key -in F:\temp\LETSENCRYPT1104486.cert -certfile F:\temp\LETSENCRYPT1104486Int.cert

Enter Export Password:   と聞かれるので,自分で何かしらのパスワードを決めて入力

Verifying – Enter Export Password:  パスワードの入力確認 (上記と同じパスワードを入れる)

これでPFXファイルが作成される

PFXファイルをIIS WEBサイトに適用する

  1. インターネット インフォメーション サービス(IIS)マネージャを起動し、[ サーバ証明書 ] をダブルクリックします。
    iis_ssl1
  2. サーバ証明書画面が表示されますので、[ インポート ] をクリックします。
  3. [ 証明書のインポート ] ウィンドウが表示されますので、バックアップしているキーペアファイル(*.pfx)を指定し、パスワード(先の手順OPENSSLで設定していたもの)を入力します。証明書ストアの選択は「個人」でいいようです。
    iis_ssl2
  4. 必要な中間CA証明書をインポートします。※すでに中間CA証明書がインポートされている場合この作業は不要
  5. SSLサーバ証明書を適用するサイトを選択し、[ バインド ] をクリックします
    iis_ssl3
  6. [ サイト バインド ] 画面が表示されますので、 https の設定がない場合は、[ 追加 ] ボタンをクリックします。
  7. 種類を [ https ] 、SSL証明書でインポートしたSSLサーバ証明書を選択し [ OK ] をクリックすると設定完了です。

プロパティ

Windows Server 2012 Standard

IIS7

Let’s Encrypt Authority X3

 

 

解決しましたら、いいね か ツイート をお願いします

[WordPress]backuwpup WARNING: opendir(xxx): failed to open dir: No such file or directory

状況

wordpress プラグイン backwpup にてバックアップはできているものの、ログにエラーが記録され backups 一覧 が表示されない。Logs では 3 WARNINGS となっている

backwpup1

対応

アクセス権の問題がほとんど

1.関係している実行ユーザーを BackWpup -Settings – Infomation で確認する

backwpup2
IUSR が実行ユーザーであることがわかる

2.バックアップ先フォルダのアクセス権を確認する。必要に応じて権限を付与する。(親フォルダも忘れずに)

filessecurity

親フォルダーにも読み取り権限を付加することをお忘れなく。

IISで設定している アプリケーションプールの プロセスID 設定によると思うが、ApplicationPoolIdentity になっているなら IUSR に権限を与えることで警告は回避された。 IUSR で だめなら、 Network Service, Local System, Local Service などで試してみると良い。最悪だめらなら Everyone なら大丈夫のはず。

プロパティ

Windows Server 2012 R2

WordPress version 4.5.3

BackWPup version 3.3.3

 

 

解決しましたら、いいね か ツイート をお願いします

[IIS6]FTP サーバーの基本認証で規定のドメインを設定

IIS7.5 だと、メニュー画面があるのでわかりやすいけども、IIS6 には ない

以下のコマンドで対応する

実行後、すぐに有効になる。FTP サイト ログイン時に  domain\username と入力しなくても
username だけでOK。

解決しましたら、いいね か ツイート をお願いします

[IIS6]W3SVC ID:1043

イベントの種類: 警告
イベント ソース: W3SVC
イベント カテゴリ: なし
イベント ID: 1043
日付: 2014/03/13
時刻: 16:26:37
ユーザー: N/A
コンピュータ: xxxDISK1
説明:
仮想サイト ‘1’ は、有効なサイトのバインドを作成できなかったか、またはサイトのバインドが存在しないため無効にされて、無視されます。
詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。

GUIベースでは削除出来ない場合、直接メタファイルを編集するファイルの編集ができるよう、IISの管理ツールにて、「メタベースの直接編集を有効にする」iis-meta
次に、C:\WINDOWS\system32\inetsrv\MetaBase.xml をテキストエディタで開く
不要な値を削除する 上図のエラーだと 仮想1 とのことなので、以下の2行削除でOKだった
<IIsConfigObject Location=”/LM/W3SVC/1″ />
<IIsConfigObject Location=”/LM/W3SVC/1/Root” />

念のため作業前にファイルのバックアップを忘れずに

 

 

 

解決しましたら、いいね か ツイート をお願いします