{
  "$type": "site.standard.document",
  "description": "Dieser Artikel behandelt häufige Probleme bei der Einrichtung eines SFTP-Servers auf Microsoft IIS, darunter Zertifikatsfehler, Probleme mit passiven Verbindungen und Benutzerberechtigungen. Er bietet Lösungen, wie die korrekte Generierung von Server-Zertifikaten mittels PowerShell und die Behebung ",
  "path": "/2015/2015-10-14-sftp-auf-microsoft-iis-korrekt-einrichten/",
  "publishedAt": "2015-10-14T00:00:00",
  "site": "at://did:plc:w37bo37cpdbcvhbdgly3qsx6/site.standard.publication/main",
  "tags": [
    "SFTP",
    "Microsoft IIS",
    "Server Konfiguration",
    "Netzwerksicherheit",
    "Zertifikate",
    "PowerShell",
    "Troubleshooting",
    "Windows Server"
  ],
  "textContent": "Das Einrichten eines **SFTP-Servers** klingt einfach, ist es aber nicht. Es gibt mindestens drei Probleme, denen du begegnen wirst:\n\n1. **Ungültiges Server-Zertifikat:** Die Verbindung zum Server schlägt fehl, weil das Server-Zertifikat ungültig ist. Die Fehlermeldung in FileZilla lautet dann z. B.:  \n   *GnuTLS error -48: Key usage violation in certificate has been detected. Could not connect to server.*\n2. **Probleme mit passiven Verbindungen:** Obwohl du in der Firewall die **passiven Ports** für den Server freigeschaltet hast, kann die Verbindung nicht vollendet werden. FileZilla bleibt dann z. B. bei der folgenden Zeile stehen:  \n   *150 Opening BINARY mode data connection.*\n3. **Fehlende Zugriffsrechte:** Der Benutzer hat nicht die nötigen Zugriffsrechte für den Ordner, den du in den Einstellungen des FTP-Servers angegeben hast.\n\nKeine Sorge. Mit diesen drei Problemen durfte auch ich schon kämpfen, und ich habe die Lösungen hier zusammengetragen. Also… eins nach dem anderen.\n\n### Problem 1: Ungültiges Server-Zertifikat\n\nDie Ursache des ersten Problems ist der Assistent, mit dem man im IIS das Server-Zertifikat erstellt. Auf den Punkt gebracht, nutzt dieser ein paar falsche Parameter. Aus diesem Grund muss das Zertifikat per Hand in der **PowerShell** erstellt werden. Wichtig: In der normalen Konsole funktioniert das nicht.\n\nLösung: Laut einem Beitrag in den [IIS-Foren](https://forums.iis.net/t/1234970.aspx) kannst du das Zertifikat mit PowerShell generieren:\n\n```powershell\nNew-SelfSignedCertificate -CertStoreLocation cert:\\LocalMachine\\My -dnsname ftp.example.com\n```\n\nErsetze `ftp.example.com` durch den Hostnamen deines Servers.\n\nDu erhältst einen Fingerabdruck (Fingerprint). Kopiere diesen und setze ein Passwort für den privaten Schlüssel:\n\n```powershell\n$password = ConvertTo-SecureString -String \"password goes here\" -Force -AsPlainText\n```\n\nExportiere das Zertifikat (ändere `C:\\cert.pfx` auf den gewünschten Speicherort, die Datei muss mit `.pfx` enden):\n\n```powershell\nExport-PfxCertificate -cert cert:\\LocalMachine\\My\\FINGERPRINT -FilePath C:\\cert.pfx -Password $password\n```\n\n### Problem 2: Passive Ports und Firewall\n\nStelle sicher, dass die **passiven Ports** in der Firewall freigegeben sind. Dies geschieht in den IIS-Einstellungen unter **FTP-Firewall-Unterstützung**. Trage dort den Portbereich ein, den du verwenden möchtest, und öffne diese Ports in der Windows-Firewall.\n\n### Problem 3: Benutzerberechtigungen\n\nÜberprüfe, ob der Benutzer die richtigen Berechtigungen für den angegebenen Ordner hat. Dies kannst du in den **Sicherheitseinstellungen** des Ordners anpassen.\n\n\n\n**Weitere Ressourcen:**\n\n- [VisualSVN: Zertifikate korrekt zuweisen](https://www.visualsvn.com/support/topic/00056/)\n- [FileZilla und IIS hinter NAT](http://grantcurell.com/2013/12/31/failed-to-retrieve-directory-listing-filezilla-connecting-to-iis-behind-nat/)\n- [Ekiwi-Blog: Troubleshooting](http://ekiwi-blog.de/?p=3465)",
  "title": "SFTP auf Microsoft IIS korrekt einrichten"
}