SSL - Certificats client - Configuration IIS

MOVEit Transfer repose sur le serveur IIS de Microsoft pour fournir des services de connexion HTTPS. Par conséquent, MOVEit Transfer doit également s'appuyer sur IIS pour fournir la fonctionnalité de certificat client.

Les utilisateurs MOVEit Transfer doivent utiliser des certificats client dignes de confiance ou stockés dans le magasin Microsoft Certificate Trusted Root, mais l'interface de gestion du certificat MOVEit Transfer prend généralement en charge cette exigence en arrière-plan. Cette section se focalise sur les paramètres IIS définis par l'installation/la mise à jour MOVEit Transfer pour activer l'assistance du certificat client (par défaut) et une seconde option prise en charge.

IIS est défini de manière à accepter les certificats client sur certains fichiers

L'interface Web MOVEit Transfer prend en charge l'authentification du certificat client dès que ce dernier est installé ou mis à jour vers la version 4.0 ou supérieure. Aucune modification manuelle ne doit être apportée à IIS ; le programme d'installation/de mise à jour définit les paramètres IIS nécessaires en arrière-plan.

Les indicateurs des conditions d'authentification sur les comptes d'utilisateur individuels permettent de contrôler si les certificats client sont requis et si les certificats client peuvent être utilisés dans le cadre de l'authentification. (Pour plus d'informations, reportez-vous à la section Interface Web - Utilisateurs - Profil.)

Avantages/Inconvénients

• Avantage : Ne requiert aucune configuration ou travail administratif supplémentaire.
• Avantage : Facile à utiliser lors de la migration des utilisateurs vers un environnement de certificat client.
• Avantage : Rétrocompatible avec les clients et les processus existants.
• Inconvénient : Les auditeurs peuvent choisir de cocher la case Require client certificates (Certificats client obligatoires) sur IIS.

humancc.aspx et machinecc.aspx

Par défaut, MOVEit Transfer définit l'indicateur Accept client certificates (Accepter les certificats client) sur deux fichiers : humancc.aspx et machinecc.aspx. « cc » signifie « certificat client » dans les noms des deux fichiers.

Toutes les sessions de navigateur Web doivent s'authentifier via human.aspx et tous les autres clients doivent s'authentifier via machine.aspx. Lorsqu'un utilisateur tente de s'authentifier via human.aspx ou machine.aspx et que MOVEit Transfer remarque que le compte de l'utilisateur requiert une authentification du certificat client, MOVEit Transfer redirige automatiquement la session de l'utilisateur vers humancc.aspx ou machinecc.aspx. À ce stade, l'utilisateur est invité à saisir les authentifiants du certificat client (en cas d'utilisation d'un navigateur Web) ou les authentifiants du certificat client seront consommés (en cas d'utilisation d'un autre client). Aucune « deuxième page de connexion » n'est présentée ; du point de vue de l'utilisateur, l'intégralité du processus de connexion requiert simplement un envoi unique.

Aucun autre fichier ou dossier ne porte la mention « Accept client certificates » (Accepter les certificats client). Pour accéder aux ressources MOVEit Transfer, vous devez attendre qu'un utilisateur se soit authentifié avec l'un des certificats client requis, de manière à ce que seules les passerelles d'authentification portent la mention Accept client certificates (Accepter les certificats client).

Indicateur « Accept Client Certificates » (Accepter les certificats client) à l'échelle du site (Ne pas le configurer !)

Ne configurez pas l'indicateur Accept client certificates (Accepter les certificats client) à l'échelle du site sur votre site Web IIS MOVEit Transfer. Cette configuration n'est pas prise en charge et n'est pas nécessaire pour demander aux utilisateurs MOVEit Transfer individuels d'utiliser des certificats client lors de l'authentification.

Deux signes peuvent indiquer qu'une personne a renversé l'indicateur Accept client certificates (Accepter les certificats client) sur votre site IIS moveitdmz IIS :

• Vos utilisateurs IE voient apparaître une étrange boîte de dialogue vide lorsqu'ils essayent de se connecter à MOVEit Transfer. La zone vide est une manière inhabituelle pour IE de signaler à l'utilisateur que le site auquel il vient de se connecter a demandé un certificat client (ce qui veut dire que c'est le cas pour l'indicateur IIS Accept (Accepter) mais que cet utilisateur ne possède pas de certificat client susceptible de fonctionner avec le site.
• Tous les transferts de fichiers cessent de fonctionner et toutes les connexions FTP et SSH sont rejetées.

IIS est défini de manière à demander les certificats client sur la plupart du contenu

Le fait de configurer l'indicateur de site IIS sur Require client certificates (Certificats client obligatoires) n'est généralement ni nécessaire, ni recommandé à moins que cela s'avère absolument indispensable. Une grande quantité de travail est requise par les administrateurs, les utilisateurs finals et les opérateurs des systèmes distants ; le meilleur choix est d'opter pour les certificats client au niveau de l'application MOVEit Transfer.

De plus, l'indicateur Require client certificates (Certificats client obligatoires) est pris en charge uniquement par le logiciel MOVEit Transfer sous Windows Server 2003.

Avantages/Inconvénients

• Avantage : Les auditeurs peuvent préférer cocher la case Require client certificates (Certificats client obligatoires) sur IIS.
• Avantage : Personne ne peut se connecter depuis un emplacement distant sans utiliser un certificat client. (Aucune exception)
• Inconvénient : Les utilisateurs Admin perdent leur accès distant si leur certificat client n'est plus valide.
• Inconvénient : Requiert une configuration ou du travail administratif supplémentaire.
• Inconvénient : Rend plus difficile la migration des utilisateurs vers l'environnement du certificat client.
• Inconvénient : N'est pas rétrocompatible avec les clients et les processus existants.

Site IIS supplémentaire réservé aux hôtes locaux

Les FTP, SSH, ISAPI MOVEit Transfer et les autres services associés communiquent parfois avec l'application MOVEit Transfer de base par l'intermédiaire de transactions XML basées sur HTTP/S. Pour autoriser cette conversation à se poursuivre dans un environnement Require client certificates (Certificats client obligatoires), vous devez effectuer une copie de l'IIS moveitdmz d'origine, puis le configurer de manière à écouter les connexions de l'hôte local uniquement.

Pour installer ce site supplémentaire et configurer MOVEit Transfer de manière à ce qu'il l'utilise en contexte pour définir l'indicateur Require client certificates (Certificats client obligatoire) à l'échelle du site, utilisez la procédure suivante.

1. Ouvrez le gestionnaire et exportez le site IIS moveitdmz.
   • Double-cliquez sur votre site MOVEit Transfer
   • Choisissez All tasks (Toutes les tâches), puis Save configuration to file (Enregistrer la configuration sur le fichier)
2. Importez le site que vous venez d'exporter et cliquez sur le message d'avertissement duplicate name (nom en double). (Ce message d'avertissement est sans risque et vous permettra d'importer le site.)
   • Double-cliquez sur l'en-tête Web Sites (Sites Web)
   • Choisissez New (Nouveau), puis Web site from file (Site Web depuis un fichier)
   • Naviguez vers le fichier créé lors de l'étape 1
   • Cliquez sur le bouton Read file (Lire fichier), sélectionnez le nom du site, puis cliquez sur OK
3. Renommez le nouveau site. (dans ce cas, la situation du nom en double peut s'avérer dangereuse si n'intervenez pas.)
4. Ouvrez le nouveau site et effectuez les étapes suivantes dans l'ordre suivant :
   • Définissez les exigences en matière de certificat client sur Ignore (Ignorer)
   • Décochez la case de paramètre SSL 128-bit, le cas échéant.
   • Décochez la case Require SSL (SSL obligatoire), le cas échéant.
   • Supprimez tous les certificats du serveur associés au site.
   • Liez le site à l'adresse 127.0.0.1 uniquement (aucun en-tête des hôtes) et supprimez le port SSL. Remplissez le port (non SSL) avec la valeur 80 si ce n'est pas déjà le cas.
5. Ouvrez le site moveitdmz et assurez-vous qu'il n'est pas lié de manière explicite à l'adresse 127.0.0.1.
6. Ouvrez l'utilitaire Configuration MOVEit Transfer, accédez à l'onglet Paths (Chemins), puis définissez l'URL de la machine sur http://localhost/machine.aspx.
7. À ce stade, vous pouvez activer l'option Require client certificates (Certificats client obligatoires) sur le site moveitdmz. Si vous y êtes invité, vous devez écraser les paramètres sur tous les fichiers, à l'exception des paramètres répertoriés dans la section « Exceptions » ci-dessous. Assurez-vous que le paramètre de sécurité des fichiers umancc.aspx et machinecc.aspx est défini de manière à demander le SSL et les certificats client.
8. Assurez-vous que les deux sites sont démarrés.
9. Procédez à des tests à l'aide de l'utilitaire Check (Vérification) MOVEit Transfer (peut permettre d'ignorer certains tests, puis de sessions client en direct afin de vous assurer que tout fonctionne correctement.

Exceptions

Même si la propriété du certificat client par défaut sur votre site IIS moveitdmz va être définie sur Require... (Obligatoire), les dossiers suivants doivent toujours être marqués Ignore client certificates (Ignorer les certificats client) pour prendre en charge l'utilisation de l'assistant de téléchargement Java.

• MOVEitISAPI : La case Ignore client certificates (Ignorer les certificats client) doit être cochée pour éviter les complications liées aux certificats client lors de l'utilisation de l'assistant de téléchargement Java. Cette procédure est sécurisée dans la mesure où cet utilitaire de transfert de fichiers n'accorde pas l'accès aux fichiers, à moins qu'une session ait été authentifiée.
• Java : La case Ignore client certificates (Ignorer les certificats client) doit être cochée pour éviter les complications liées aux certificats client lors de l'utilisation de l'assistant de téléchargement Java. Ce dossier héberge l'applet de l'utilisation de l'assistant de téléchargement qui est téléchargé et exécuté par les navigateurs Web. Cette procédure ne présente aucun risque puisque les contenus de ce dossier sont disponibles publiquement à partir de n'importe quel autre serveur MOVEit Transfer.
• Images : La case Ignore client certificates (Ignorer les certificats client) doit être cochée pour éviter les complications liées aux certificats client lors de l'utilisation de l'assistant de téléchargement Java. Ce dossier héberge les images utilisées dans l'applet de l'assistant de téléchargement Java. Cette procédure est sécurisée dans la mesure où les contenus de ce dossier sont disponibles publiquement à partir de n'importe quel serveur MOVEit Transfer ou disponibles publiquement à toutes les personnes ayant accès à la page de connexion MOVEit Transfer (publique).

Lorsque les programmes d'installation et de mise à jour MOVEit Transfer sont exécutés, l'option Ignore client certificates (Ignorer les certificats client) est automatiquement réinitialisée sur ces dossiers. (Cependant, les actions d'installation Repair (Réparer) n'entraînent pas la réinitialisation de ces paramètres.)

Rétablissement de « Require... » (Demander...) vers « Accept... » (Accepter)

Pour rétablir Require... (Demander...) vers Accept... (Accepter), le meilleur traitement possible est de définir les exigences relatives au certificat client au niveau du site IIS depuis Require... (Demander...) vers Ignore... (Ignorer...), puis de forcer une mise à jour MOVEit Transfer (et non une simple « réparation ») pour réinitialiser les propriétés appropriées dans les autres éléments du site Web IIS. (La procédure la plus récente pour forcer une mise à jour MOVEit Transfer intégrale est disponible sous forme d'un article dans la Base de connaissances sur le site d'assistance MOVEit.)

Sinon, basculez le paramètre de certificat client au niveau du site IIS depuis Require... (Demander...) vers Ignore... (Ignorer...) (tout en choisissant d'écraser tous les sous-dossiers), puis définissez l'indicateur Accept client certificates (Accepter les certificats client) sur les fichiers humancc_aspx et machinecc_aspx comme indiqué ici :

Après avoir effectué l'une des deux procédures, vous pouvez également choisir de supprimer le site IIS de l'hôte local supplémentaire requis par l'indicateur Require... (Demander...). Vous pouvez également avoir besoin de modifier l'URL de la machine sur l'onglet Paths (Chemins) de l'utilitaire Config MOVEit Transfer si votre site moveitdmz est lié à une adresse IP spécifique.