|
|
|
|
|
クライアント証明書の保留タンクには、ユーザーによって認証情報として提示されたが、そのユーザーの有効な認証情報としてまだ承認されていない証明書が保持されます。SSL 接続が確立され、無効な証明書と共に有効なユーザー名が提示されると、保留タンクに自動的に入力されます。クライアント証明書の信頼の問題により、SSL 接続を確立できなかった場合、保留タンクのエントリは作成されません。
保留タンクを使用すると、ユーザープロファイルに証明書を手動で追加、インポート、または作成しなくても、ユーザーの特定の証明書を承認できます。
次の手順では、管理者が後日にユーザーのプロファイルに昇格/承認できるように、FTP/SSL クライアントが新しい証明書を使用して接続し、証明書のフィンガープリントを残す方法について説明します。この手順を使用できるのは、MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアに登録されている CA が署名した SSL クライアント証明書を既にクライアントにインストールしている FTP/SSL ユーザーです。
まず、リモート FTP/SSL クライアントで MOVEit Transfer への接続を試行します。この接続は失敗します。たとえば、次の MOVEit Freely セッションは、クライアントキーを使用した接続を試行して失敗します。
C:\>ftps -ccn:lucy -e:on -a -user:moveitfreelydemo -password:\<your_transfer_passwd\> dotnet
220-Security Notice
220-You are about to access a secured resource.Ext Auth Mania reserves the
220 right to monitor and/or limit access to this resource at any time.
234 SSL enabled start the negotiation
Connected to dotnet.
530 Not logged in.Client Certificate is not registered.
ftp> quit
221 Goodbye
次に、管理者として MOVEit Transfer にサインオンし、認証を試行したユーザーのクライアント証明書管理ページに移動します。このページの 2 番目のセクションには、このユーザーの保留タンクのエントリが表示されます。
認証を 1 回試行すると、保留タンクに 2 つのエントリが入力されます。一つは証明書の CN のエントリで、もう一つはサムプリントのエントリです。そのエントリの [Accept (承認)] リンクをクリックして、どちらかを承認できます。
証明書の CN を承認すると、CN は同じだが有効期限が異なる更新済みの証明書をエンドユーザーが取得した場合に、証明書の更新の問題を回避できます。ただし、この組織の信頼された CA が同じ名前の CN を複数のユーザーに発行する場合や (Thawte Free Email 認証など)、信頼された CA が複数ある場合に、CN の競合のリスクを冒すことにもなります。
証明書のサムプリントを承認すると、CN は同じだが有効期限が異なる更新済みの証明書をエンドユーザーが取得した場合に、証明書の更新の問題が発生します。ただし、この組織の信頼された CA が同じ名前の CN を複数のユーザーに発行する場合や (Thawte Free Email 認証など)、信頼された CA が複数ある場合に、CN の競合のリスクを回避できます。
組織レベルの信頼された CA を使用しており、その数が限られている場合 (組織がその独自の CA である場合など)、おそらく CN の承認を選択するのが妥当です。多数の信頼された CA を使用しているか、または同じ CN の証明書を複数のユーザーに発行する CA が含まれている場合、おそらくサムプリントの承認を選択するのが妥当です (クライアント証明書のサムプリントを使用した認証では、信頼された CA のリストは考慮されません)。
この例では、同じ CN の証明書を別々のユーザーに決して発行しない CA によって発行されたクライアント証明書であるため、その「SSL CN」を承認します。
CN またはサムプリントを承認すると、[Confirm Holding Tank Deletion (保留タンクの削除の確認)] 画面が表示されます。この画面には成功メッセージと承認された値 (この場合は CN) が含まれており、この保留タンクのエントリを削除するかどうかを尋ねるメッセージが表示されます。デフォルトは [Yes (はい)] で、エントリが削除されます。ただし、[No (いいえ)] を選択すると、CN とサムプリントの両方がユーザーレコードに含められ、ユーザーは適切な CN または適切なサムプリント (両方ではない) を証明書に指定する必要があります。
クライアント証明書管理ページに戻ると、新しく承認されたエントリが表示されます。この時点で、FTP クライアントのサインオンを再度試行してみます。
C:\>ftps -ccn:lucy -e:on -a -user:moveitfreelydemo -password:\<your_transfer_passwd\> dotnet
220-Security Notice
220-You are about to access a secured resource.Ext Auth Mania reserves the
220 right to monitor and/or limit access to this resource at any time.
234 SSL enabled start the negotiation Connected to dotnet.
331 Password required for moveitfreelydemo
230-Welcome to JGL Test Org.Enjoy your stay & have fun!
230 User moveitfreelydemo logged in.
200 PBSZ command successful
200 PROT command successful
215 Windows_NT version 5.0 (MOVEit DMZ FTP 3.1.8.6)
200 Integrity mode selected
ftp>
今回はサインオン試行が成功しました。
保留タンクは組織全体を対象としており、組織内のすべてのユーザーの割り当てられていないすべての証明書のリストが含まれています。
割り当てられていない証明書は、一定の日数が経過すると、保留タンクから自動的に消去されます。正確な日数は、組織全体の SSL ポリシーで設定することができます (保留タンク内の割り当てられていない SSH クライアントキーと信頼されていない CA 証明書に同じ値が適用されます)。
割り当てられていない証明書は、[delete (削除)] リンクまたは [delete all (すべて削除)] リンクを使用して、個々のユーザーの保留タンクまたは組織全体の保留タンクから手動で消去することもできます。