SFTP auf Microsoft IIS korrekt einrichten

October 14, 2015  |  Kategorie: hosting anleitungen
Table of Contents

Das Einrichten eines SFTP-Servers klingt einfach, ist es aber nicht. Es gibt mindestens drei Probleme, denen du begegnen wirst:

  1. Ungültiges Server-Zertifikat: Die Verbindung zum Server schlägt fehl, weil das Server-Zertifikat ungültig ist. Die Fehlermeldung in FileZilla lautet dann z. B.:
    GnuTLS error -48: Key usage violation in certificate has been detected. Could not connect to server.
  2. Probleme mit passiven Verbindungen: Obwohl du in der Firewall die passiven Ports für den Server freigeschaltet hast, kann die Verbindung nicht vollendet werden. FileZilla bleibt dann z. B. bei der folgenden Zeile stehen:
    150 Opening BINARY mode data connection.
  3. Fehlende Zugriffsrechte: Der Benutzer hat nicht die nötigen Zugriffsrechte für den Ordner, den du in den Einstellungen des FTP-Servers angegeben hast.

Keine Sorge. Mit diesen drei Problemen durfte auch ich schon kämpfen, und ich habe die Lösungen hier zusammengetragen. Also… eins nach dem anderen.

Problem 1: Ungültiges Server-Zertifikat

Die Ursache des ersten Problems ist der Assistent, mit dem man im IIS das Server-Zertifikat erstellt. Auf den Punkt gebracht, nutzt dieser ein paar falsche Parameter. Aus diesem Grund muss das Zertifikat per Hand in der PowerShell erstellt werden. Wichtig: In der normalen Konsole funktioniert das nicht.

Lösung: Laut einem Beitrag in den IIS-Foren kannst du das Zertifikat mit PowerShell generieren:

1New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\My -dnsname ftp.example.com

Ersetze ftp.example.com durch den Hostnamen deines Servers.

Du erhältst einen Fingerabdruck (Fingerprint). Kopiere diesen und setze ein Passwort für den privaten Schlüssel:

1$password = ConvertTo-SecureString -String "password goes here" -Force -AsPlainText

Exportiere das Zertifikat (ändere C:\cert.pfx auf den gewünschten Speicherort, die Datei muss mit .pfx enden):

1Export-PfxCertificate -cert cert:\LocalMachine\My\FINGERPRINT -FilePath C:\cert.pfx -Password $password

Problem 2: Passive Ports und Firewall

Stelle sicher, dass die passiven Ports in der Firewall freigegeben sind. Dies geschieht in den IIS-Einstellungen unter FTP-Firewall-Unterstützung. Trage dort den Portbereich ein, den du verwenden möchtest, und öffne diese Ports in der Windows-Firewall.

Problem 3: Benutzerberechtigungen

Überprüfe, ob der Benutzer die richtigen Berechtigungen für den angegebenen Ordner hat. Dies kannst du in den Sicherheitseinstellungen des Ordners anpassen.

SFTP auf Microsoft IIS korrekt einrichten - Beispiel für Zertifikate
Beispiel für die Einrichtung eines SFTP-Servers auf Microsoft IIS

Weitere Ressourcen:

Zusammenfassung

Dieser Artikel behandelt häufige Probleme bei der Einrichtung eines SFTP-Servers auf Microsoft IIS, darunter Zertifikatsfehler, Probleme mit passiven Verbindungen und Benutzerberechtigungen. Er bietet Lösungen, wie die korrekte Generierung von Server-Zertifikaten mittels PowerShell und die Behebung von Verbindungsschwierigkeiten.


Hauptthemen: SFTP Microsoft IIS Server Konfiguration Netzwerksicherheit Zertifikate PowerShell Troubleshooting Windows Server

Schwierigkeitsgrad: advanced

Lesezeit: ca. 5 Minuten