SSL - Certificats client - Dossier de stockage

Le dossier de stockage du certificat client contient les certificats qui ont été présentés par un utilisateur comme des informations d'authentification mais qui ne sont pas encore considérés comme des authentifiants valides pour cet utilisateur. Le dossier de stockage est rempli automatiquement dès qu'une connexion SSL est établie et qu'un nom d'utilisateur valide est présenté avec un certificat non valide. Les entrées du dossier de stockage NE seront PAS créées si une connexion SSL n'a pas pu être établie en raison de problèmes d'approbation du certificat client.

Utilisez le dossier de stockage pour accepter les certificats spécifiques pour les utilisateurs sans avoir à ajouter, importer ou créer manuellement des certificats dans un profil utilisateur.

Comment un client FTP/SSL se connecte à un nouveau certificat

La procédure suivante décrit la manière dont un client FTP/SSL peut se connecter à un nouveau certificat et laisse l'empreinte digitale du certificat à un administrateur afin de le promouvoir/l'accepter dans le profil de l'utilisateur à une date ultérieure. Tous les utilisateurs FTP/SSL dont le client a déjà installé un certificat client SSL signé par une CA enregistrée dans le magasin Microsoft Trusted Root Certificate pour MOVEit Transfer peut utiliser cette procédure.

Tout d'abord, tentez de connecter le client FTP/SSL distant à MOVEit Transfer. Cette connexion devrait échouer. Par exemple, la session MOVEit Freely suivante essaye de se connecter avec une clé client avant d'échouer.

C:\>ftps -ccn:lucy -e:on -a -user:moveitfreelydemo -password:a1s2d3 dotnet 

220-Security Notice (Avis de sécurité) 

220-Vous êtes sur le point d'accéder à une ressource sécurisée. Ext Auth Mania se réserve le 

220 droit de surveiller et/ou de limiter l'accès à ces ressources à tout moment. 

234 SSL a permis de démarrer la négociation 

Connecté à dotnet. 

530 Non connecté Le certificat client n'est pas enregistré. 

ftp> quit 

221 Au revoir

Ensuite, connectez-vous en tant qu'administrateur à MOVEit Transfer, puis accédez à la page client cert administration (administration du certificat client) de l'utilisateur qui vient de tenter de s'authentifier. La deuxième section de cette page affiche les entrées Holding Tank (Dossier de stockage) de cet utilisateur.

Notez bien qu'une tentative d'authentification unique insère DEUX entrées dans le dossier de stockage : une pour le NC du certificat et une pour l'empreinte numérique. Les deux peuvent être acceptés en cliquant sur le lien Accept (Accepter) correspondant à cette entrée.

Si vous acceptez le NC du certificat, vous vous épargnerez les problèmes de renouvellement du certificat si l'utilisateur final obtient un certificat mis à jour avec le même NC mais avec une date d'expiration différente. Cependant, il existe également un risque de collision entre les NC si l'une des CA de confiance de l'organisation émet des NC identiques pour plusieurs personnes (par ex., des certificats Thawte Free Email) ou vous disposez de plusieurs CA de confiance.

Si vous acceptez l'empreinte numérique du certificat, vous rencontrerez des problèmes de renouvellement du certificat si l'utilisateur final obtient un certificat mis à jour avec le même NC mais avec une date d'expiration différente. Cependant, vous vous épargnerez le risque de collision entre les NC si l'une des CA de confiance de l'organisation émet des NC identiques pour plusieurs personnes (par ex., des certificats Thawte Free Email) ou vous disposez de plusieurs CA de confiance.

Si vous utilisez un nombre limité de CA de confiance au niveau de l'organisation (par ex., votre organisation est votre propre CA), vous devrez probablement choisir d'accepter les NC. Si vous utilisez plusieurs CA de confiance ou si vous attribuez des certificats avec le même NC à plusieurs personnes, vous devrez probablement choisir d'accepter les empreintes numériques. (Les authentifications qui utilisent les empreintes numériques des certificats client ne prêtent pas attention à la liste des CA de confiance.)

Dans notre exemple, nous accepterons le « NC SSL » du certificat client étant donné qu'il a été émis par une CA qui n'émet jamais le même NC à différentes personnes.

Une fois que le NC ou l'empreinte numérique a été accepté(e), l'écran Confirm Holding Tank Deletion (Confirmer la suppression du dossier de stockage) apparaît. Il inclut un message de réussite, la valeur acceptée (le NC, dans ce cas précis), ainsi que l'entrée « Are you sure you want to delete this Holding Tank ?» (Êtes-vous sûr de vouloir supprimer cette entrée de dossier de stockage ?). La valeur sélectionnée par défaut est Yes (Oui), ce qui a pour conséquence de supprimer l'entrée. Cependant, si vous sélectionnez No (Non), cela a pour conséquence d'inclure le NC et l'empreinte numérique dans l'enregistrement utilisateur Il sera alors demandé à l'utilisateur de fournir un certificat avec le NC ou l'empreinte approprié(e), mais pas les deux.

Vous êtes alors redirigé vers la page d'administration du certificat client, sur laquelle est répertoriée l'entrée qui vient d'être acceptée. À ce stade, il est temps de procéder à une nouvelle tentative de connexion du client FTP.

C:\>ftps -ccn:lucy -e:on -a -user:moveitfreelydemo -password:a1s2d3 dotnet 

220-Security Notice (Avis de sécurité) 

220-Vous êtes sur le point d'accéder à une ressource sécurisée. Ext Auth Mania se réserve le 

220 droit de surveiller et/ou de limiter l'accès à ces ressources à tout moment. 

234 SSL a permis de démarrer la négociation Connecté à dotnet. 

331 Mot de passe requis pour moveitfreelydemo 

230-Bienvenue dans JGL Test Org. Profitez de votre séjour et amusez-vous ! 

230 Utilisateur moveitfreelydemo connecté. 

200 Commande PBSZ réussie 

200 Commande PROT réussie 

215 Windows_NT version 5.0 (MOVEit DMZ FTP 3.1.8.6) 

200 Integrity mode selected 

ftp>

Cette fois, la tentative de connexion a réussi.

Importation des certificats depuis le dossier de stockage à l'échelle de l'organisation

Le dossier de stockage est à l'échelle de l'organisation et contient une liste de tous les certificats non assignés pour tous les utilisateurs de l'organisation.

• Pour afficher le dossier de stockage, procédez comme suit :
  1. Cliquez sur SETTINGS > Security > Interface Policy (PARAMÈTRES > Sécurité > Stratégie d'interface), cliquez sur le lien FTP ou HTTP, puis cliquez sur View Tank Keys (Afficher les clés du dossier de stockage).
  2. Pour assigner des certificats spécifiques, cliquez dans la liste complète avec le lien View Tank Keys (Afficher les clés du dossier de stockage). Les informations sur le certificat sont triées par nom d'utilisateur, puis par type.
  3. Sélectionnez une planification et cliquez sur Accept (Accepter). Vous êtes redirigé vers le dossier de stockage au niveau de l'organisation.

Nettoyage des certificats non assignés dans le dossier de stockage

Les certificats non assignés seront automatiquement nettoyés du dossier de stockage après un certain nombre de jours. Le nombre de jours exact est une option susceptible d'être configurée sous la stratégie SSL à l'échelle de l'organisation. (La même valeur s'applique aux clés client SSH non assignées et aux certificats CA qui ne sont pas jugés fiables du dossier de stockage.)

Les certificats non assignés peuvent également être supprimés manuellement du dossier de stockage d'un utilisateur individuel ou du dossier de stockage à l'échelle de l'organisation à l'aide des liens delete (supprimer) ou delete all (supprimer tout).