SSL - Certificats client - Résolution des problèmes

Comme les autres problèmes de connexion, tels que les connexions FTP, les problèmes associé aux certificats client peuvent être résolus en analysant la quantité de travail que le client a été en mesure d'effectuer avant que les problèmes ne surviennent. Le guide suivant fournit un aperçu rapide du processus de résolution des problèmes associés aux certificats client. Assurez-vous également de vous familiariser avec les exigences en matière de CA et d'authentifiants auxquelles tous les clients doivent se conformer pour se connecter et s'authentifier correctement avec un certificat client.

Les problèmes de connexion associés aux certificats client sont généralement causés par l'une des trois raisons suivantes : échec de l'établissement d'une connexion TCP, échec de l'établissement d'une connexion SSL ou échec de l'authentification. Lors de la résolution des problèmes associés aux certificats client, explorez ces différentes causes dans l'ordre indiqué. Pour les connexions FTP, la connectivité TCP est couverte dans le guide FTP/SSL Troubleshooting (Résolution des problèmes FTP/SSL) ; les deux autres problèmes sont traités ici.

• Problème : Connexion impossible
  • Assurez-vous que le pare-feu et les autres problèmes de connectivité de base ne s'appliquent pas.
  • Le client est-il configuré pour utiliser un certificat client ?
  • Le client est-il en accord avec le certificat du serveur MOVEit Transfer ?
  • La CA du certificat client est-elle installée dans le magasin des certificats racines de confiance Microsoft de MOVEit Transfer ? (Dans le cas contraire, le certificat client lui-même est-il installé ici ?)
• Problème : Authentification impossible
  • Si vous ne parvenez pas à vous connecter, vous n'avez pas besoin de vous soucier des problèmes d'authentification.
  • Vérifiez le profil utilisateur.
    • Un certificat client est-il requis ? (Dans le cas contraire, il s'agit d'un problème de mot de passe.)
    • Le client a-t-il fourni le mot de passe requis au moment où le certificat client a été demandé ?
    • Si l'option au niveau de l'organisation pour faire correspondre les NC aux noms d'utilisateurs/noms réels est activée et que le NC du certificat client correspond au nom d'utilisateur/nom réel de cet utilisateur, la CA du certificat client appartient-elle à la liste des CA de confiance au niveau de l'organisation ?
    • Dans le cas contraire, certaines entrées figurent-elles dans le dossier de stockage du certificat client de l'utilisateur ? (Si tel est le cas, acceptez l'entrée appropriée.)
    • Le NC du certificat client est-il répertorié en tant que certificat accepté dans le profil utilisateur ? (Si tel est le cas, assurez-vous que la CA du certificat client appartient à la liste des CA de confiance au niveau de l'organisation.)
  • Extrayez un rapport utilisateur pour l'utilisateur. Examinez les entrées du journal pour obtenir des indices supplémentaires.

Questions fréquentes

Q : J'ai vérifié les « certificats requis » sur mon profil utilisateur mais MOVEit Transfer ignore le certificat client.
R : Vous devez également configurer l'option des ports Client Cert (Certificat client) sur l'onglet FTP Ports (Ports FTP) de l'utilitaire MOVEit TransferConfig (Configuration). Votre client FTP doit également se connecter à l'un des deux ports de certificat client plutôt qu'aux deux ports non-cert (non certificats) avant que l'authentification de certificat client ne réussisse.

Q : Quel est le meilleur moyen de migrer mes utilisateurs vers les certificats client ?
R : Activez l'option Client Cert Ports (« Ports de certificat client ») sur l'onglet FTP Ports (Port FTP) de l'utilitaire Config MOVEit Transfer (et ouvrez les ports de pare-feu correspondants). Étant donné que l'ensemble de vos clients migrent vers l'authentification du certificat client FTP, dites-leur de basculer leurs paramètres de connexion depuis un port non-cert vers un port cert.

Q : J'ai généré un certificat client, mais lorsque j'essaye de le connecter, il n'apparaît pas dans le dossier de stockage des certificats client.
R : L'une des deux conditions suivantes doit être remplie pour que MOVEit Transfer autorise le client à établir une connexion SSL à l'aide de ce certificat client. Les certificats client auto-générés doivent être signés soit par une CA dont le certificat apparaît déjà dans le magasin des certificats racines de confiance Microsoft de MOVEit Transfer, ou le certificat client auto-généré lui-même doit être importé vers le magasin des certificats racines de confiance Microsoft de MOVEit Transfer. Les instructions relatives à ces deux opérations sont disponibles sur la page Client Certs - Importing and Creating (Certificats client - Importation et création).

Q : J'ai accepté un NC de certificat client en tant qu'authentifiant valide pour un utilisateur particulier, mais cet utilisateur reçoit toujours un message d'erreur « certificate not registered » (certificat non enregistré) lorsqu'il essaye de se connecter.
R : La CA du certificat client n'a probablement pas été assignée en tant que CA de confiance au sein de l'organisation. Vérifiez si la CA du certificat client se trouve dans le Client Cert CA Holding Tank (Dossier de stockage CA du certificat client)

Aide supplémentaire

Pour obtenir de l'aide supplémentaire, reportez-vous à la base de connaissances sur le site d'assistance Ipswitch.