|
|
|
|
|
Un certificat client avec l'empreinte numérique SHA-1 fournit une technique de qualité cryptographique pour prouver qu'un certificat spécifique correspond à ce qu'il déclare être. Cependant, le NC d'un certificat client peut être trouvé sur des centaines voire des milliers de certificats client parfaitement valides. Pour conserver une trace des certificats qui utilisent une authentification NC, MOVEit Transfer suit leur chaîne CA et autorise uniquement les certificats qui ont été signés par une liste réduite de CA de confiance à s'authentifier.
Par définition, une CA de confiance est une CA approuvée par une organisation en fournissant des certificats nommés (NC) correctement aux bons utilisateurs. Si une CA émet un certificat avec le même NC à plusieurs utilisateurs (par ex., « CA Thawte Personal Freemail »). Cette CA NE doit PAS être une CA de confiance. Si votre organisation tient déjà à jour sa propre CA, cette CA doit probablement appartenir à la liste des CA de confiance. Les CA d'une organisation tierce peuvent ou ne peuvent pas être ajoutées en tant que CA de confiance en fonction de leur faculté à émettre des certificats CA nommées par leur NC aux bons utilisateurs.
Comparaison entre CA de confiance et le magasin des certificats racines de confiance Microsoft
Des certificats CA sont installés dans le magasin des certificats racines de confiance Microsoft. Tous les certificats clients qui se connectent à MOVEit Transfer doivent « être associés » à un certificat installé dans le magasin des certificats racines de confiance Microsoft. Après avoir établi une connexion SSL, le magasin des certificats racines de confiance Microsoft ne joue plus aucun rôle dans l'authentification.
Les CA de confiance sont une liste (NC) de CA ; ils ne contiennent aucun certificat. Les certificats client qui proposent un NC pour authentification doivent être signés par l'une des CA répertoriées ici, mais les CA de cette liste n'ont pas besoin d'appartenir au magasin des certificats racines de confiance Microsoft si toutes les CA de confiance « sont associées » à une entrée du magasin des certificats racines de confiance Microsoft. La liste des CA de confiance est disponible sur la page des paramètres SSL au niveau de l'organisation, qui est accessible depuis la page Settings (Paramètres) en suivant le lien Security | Interface Policy | FTP (Sécurité | Stratégie d'interface | FTP) ou Security | Interface Policy | HTTP (Sécurité | Stratégie d'interface| HTTP).
Veuillez également vous référer aux exemples Connect/Authenticate (Connexion/Authentification) sur la page Certs - Overview documentation (Certificats - Documentation de présentation) pour avoir un aperçu de la manière dont le CA de confiance et le magasin de certificats fonctionnent ensemble.
Dossier de stockage des CA de confiance
La liste des CA de confiance possède son propre dossier de stockage, identique à celui du dossier de stockage du certificat client. Pour obtenir une entrée de certificat CA dans le dossier de stockage de la CA de confiance, un utilisateur doit se connecter avec un certificat client qui « est associé » à une CA du magasin des certificats racines de confiance Microsoft et dont l'empreinte numérique ne correspond pas au profil d'utilisateur associé.
Maintenance de la liste des CA de confiance
Il y a deux autres moyens d'ajouter des CA de confiance. Vous pouvez saisir manuellement le NC d'une CA de confiance. Sinon, vous pouvez faire défiler et sélectionner l'un des certificats CA déjà installés dans le magasin des certificats racines de confiance Microsoft (ou le magasin de CA intermédiaire Microsoft).
Lorsque vous supprimez une entrée de CA de confiance, vous supprimez uniquement un pointeur, même si la CA de confiance est également installée dans le magasin des certificats racines de confiance Microsoft. (Vous devez supprimer les certificats directement à partir du magasin des certificats racines de confiance Microsoft à l'aide de la console MMC habituelle si telle est l'action souhaitée.)
CA de signature de certificats de l'organisation
Chaque organisation sur MOVEit Transfer peut créer et utiliser un certificat CA unique pour signer n'importe quel certificat client créé par l'intermédiaire de l'interface Web MOVEit Transfer. Ces certificats CA sont « auto-signés » mais ils sont automatiquement inclus et installés dans les fichiers de certificat client « *.pfx » créés lors de la procédure de création de certification du nouveau client.
Contexte : Dans la version 4.0, MOVEit Transfer a généré des certificats client auto-signés (par exemple, des certificats n'ayant pas été signés par un CA) via une interface similaire. Cependant, en pratique, seuls 100 à 200 certificats client auto-signés peuvent être pris en charge sous la configuration IIS par défaut, de manière à ce que les certificats client créés par MOVEit Transfer soient désormais signés par la CA pour éviter cette limite.
Quand et comment créer une CA de signature de certificats d'organisation
S'il vous a été demandé de créer une CA d'organisation pour créer des certificats client (après avoir cliqué sur le lien Create New (Créer nouveau)) ou que vous voyez une section Client Signing CA Cert (Certificat CA de signature client, comme celui de la section suivante...
... vous devez créer un certificat CA de signature de certificats client d'organisation. Pour ce faire, cliquez sur le lien Create CA (Créer un CA) dans cette section et remplissez le formulaire suivant. Ce certificat de signature sera visible sur tous les certificats client créés par vous ou un autre administrateur via l'interface Web MOVEit Transfer, c'est pourquoi il vaut généralement la peine de fournir des réponses significatives à chaque question du formulaire. La durée de ce certificat doit être SUPÉRIEURE à la durée des certificats client que vous prévoyez d'émettre aujourd'hui ou ultérieurement.
Une fois que le certificat CA de l'organisation a été créé, il s'agit en général d'une partie invisible du processus de création du certificat client ; il n'y a aucune liste déroulante des certificats CA ou de commande similaire dont vous devez vous soucier.