|
|
|
|
|
Importation de certificats client
Bien souvent, le meilleur moyen de permettre à un utilisateur avec un certificat client existant de commencer l'authentification avec ce certificat client est de demander à l'utilisateur d'essayer de se connecter une fois, puis d'accepter les entrées de certificats qui apparaissent dans les dossiers de stockage de l'utilisateur et de l'organisation (pour plus d'informations, voir la page Holding Tank (Dossier de stockage). Cependant, il arrive que parfois, un utilisateur soit en mesure de présenter son certificat aux administrateurs avant qu'il ne se connecte pour la première fois. Dans ce cas, les administrateurs peuvent importer ce certificat dans les magasins MOVEit Transfer, voire le magasin Microsoft Trusted Root si nécessaire.
Comme il s'agit du mode de fonctionnement des certificats SSL, le seul composant dont les administrateurs ont besoin pour importer le certificat client d'un utilisateur est la portion « publique ». (La portion « privée » d'un certificat client doit être conservée par l'utilisateur et ne doit être communiquée à personne.) Si l'utilisateur est en mesure de fournir la portion publique de son certificat, elle peut être importée dans MOVEit Transfer à l'aide de la page Import Existing Client Certificate (Importer un certificat de client existant). Pour accéder à cette page, rendez-vous sur la page client cert administration (administration du certificat client), puis cliquez sur le lien Import (Importer).
Une fois importé, MOVEit Transfer sera en mesure de déterminer automatiquement la nature du certificat. Comme mentionné sur cette page, si le certificat est auto-signé, MOVEit Transfer ajoute l'empreinte numérique du certificat à l'enregistrement utilisateur et importe le certificat sur le magasin Microsoft Trusted Root, de manière à ce qu'un utilisateur utilisant le certificat puisse se connecter au serveur. Si le certificat est signé par une CA, MOVEit Transfer commencera par vérifier si cette CA est jugée fiable par l'organisation actuelle. Si tel est le cas, MOVEit Transfer ajoutera le NC du certificat à l'enregistrement utilisateur. Dans le cas contraire, l'administrateur recevra un message d'erreur l'invitant à vérifier la CA avant de poursuivre.
Ajout de certificats client
Si un client possède un certificat client existant mais qu'il n'est pas en mesure de fournir directement la portion publique aux administrateurs, il est toujours possible d'associer un élément de ce certificat au compte de l'utilisateur, à partir du moment où l'utilisateur est en mesure de transmettre des informations spécifiques concernant le certificat aux administrateurs. Si l'utilisateur est en mesure de fournir l'empreinte numérique ou de NC de son certificat client, les administrateurs peuvent ajouter ces informations à l'enregistrement utilisateur en se rendant sur la page d'administration du certificat client, puis en cliquant sur le lien Add (manually) (Ajouter (manuellement)).
Ici, l'administrateur peut ajouter soit l'empreinte numérique, soit le NC du certificat dans la zone de texte fournie, puis sélectionner le type de données qu'il saisit. En cliquant sur le bouton Add Certificate (Ajouter un certificat), les informations saisies sont ajoutées à l'enregistrement utilisateur.
Cette méthode ne cible pas les problèmes d'approbation. Pour que l'utilisateur puisse se connecter au serveur à l'aide du certificat client, ce dernier doit être jugé digne de confiance. S'il s'agit d'un certificat auto-signé, il doit être disponible dans le magasin des certificats racines de confiance Microsoft ; sinon, il doit être signé par une CA de confiance.
Création de nouveaux certificats client
Si un utilisateur ne possède pas de certificat client, MOVEit Transfer peut générer un certificat signé par la CA d'une organisation. Ce certificat sera automatiquement associé au compte d'utilisateur via empreinte numérique et sera fourni à l'administrateur sous la forme d'un fichier « [nom d'utilisateur].pfx » qui permet à l'administrateur de fournir le certificat à l'utilisateur. L'utilisateur doit ensuite importer le nouveau certificat vers le magasin de certificats de leur client, quel que soit le client utilisé pour se connecter au serveur. (Dans la plupart des environnements Windows, l'ouverture d'un certificat client au format « *.pfx » entraîne le lancement d'un assistant d'importation de certificat client.)
Afin de créer un certificat client pour un utilisateur, accédez à la page d'administration des certificats de client SSL de cet utilisateur, puis cliquez sur le lien Create New (Créer nouveau). Si vous ne possédez pas de CA organisationnelle vous permettant de signer les nouveaux certificats client, il vous sera fourni un lien qui vous aidera à en créer un (si vous êtes un administrateur complet). Dans le cas contraire, un formulaire s'ouvre à vous afin de fournir les informations de certificat standard. Plusieurs champs seront déjà remplis avec des valeurs connues.
Assurez-vous de vous souvenir du mot de passe saisi ou sélectionné. Ce mot de passe doit être fourni à l'utilisateur afin de pouvoir importer le nouveau certificat.
En cliquant sur le bouton Create Certificate (Créer un certificat), une page de confirmation s'ouvre et répertorie les détails du nouveau certificat.
Au moment de cliquer sur le bouton Create and Download Certificate (Créer et télécharger un certificat), le certificat sera créé, signé par la CA organisationnelle, associé à l'utilisateur et présenté à l'administrateur en vue d'être téléchargé. L'administrateur doit fournir le nouveau fichier de certificat « *.pfx » à l'utilisateur de façon à ce qu'il puisse être importé, avec le mot de passe sélectionné sur la page initiale Create Client Certificate (Créer un certificat client).
L'utilisateur doit suivre les procédures fournies dans la section Getting Started - SignOn (Prise en main - Connexion) pour importer leur certificat client vers leur navigateur.