|
|
|
|
|
クライアント証明書の SHA-1 サムプリントは、特定の証明書の内容が事実であることを証明するための、暗号化に並ぶ方法となります。ただし、クライアント証明書の CN は、数百または数千にも及ぶ完全に有効なその他のクライアント証明書で見つかる可能性があります。CN 認証を使用する証明書を追跡するために、MOVEit Transfer は CA チェーンをたどり、少数の信頼された CA によって署名された証明書のみを認証できるようにします。
信頼された CA は、その名のとおり、適切な名前 (CN) が付いた証明書を適切なユーザーに提供することで組織に信頼される CA です。CA が同じ CN の証明書を複数のユーザーに発行する場合 (Thawte Personal Freemail CA など)、その CA は信頼された CA ではありません。組織が既にその独自の CA を維持している場合、おそらくその CA は信頼された CA のリストにあります。サードパーティ組織の CA は、一意の CN の証明書を適切なユーザーに発行できるかどうかに応じて、信頼された CA として追加できるかどうかが決まります。
Microsoft の信頼されたルート証明書ストアには、CA のインストール済み証明書が含まれています。MOVEit Transfer に接続されるクライアント証明書はすべて、Microsoft の信頼されたルート証明書ストアにインストールされている証明書に「接続する」必要があります。ただし、SSL 接続が確立されると、Microsoft の信頼されたルート証明書ストアは認証にそれ以上関与しません。
信頼された CA は CA の CN のリストです。証明書がここに実際にインストールされるわけではありません。認証用の CN を提供するクライアント証明書は、このリストに含まれるいずれかの CA によって署名されている必要があります。ただし、信頼された各 CA が Microsoft の信頼されたルート証明書ストア内のエントリに「接続している」限り、このリスト内の CA が実際に Microsoft の信頼されたルート証明書ストアにも含まれている必要はありません。信頼された CA のリストは、組織レベルの SSL 設定ページで確認することができます。このページには、[Security (セキュリティ)] | [Interface Policy (インターフェイスポリシー)] | [FTP] リンクまたは [Security (セキュリティ)] | [Interface Policy (インターフェイスポリシー)] | [HTTP] リンクをたどることによって、[Settings (設定)] ページからアクセスできます。
信頼された CA と Microsoft の信頼されたルート証明書ストアがどのように連動するかについては、「クライアント証明書 - 概要」ページの「接続/認証の例」も参照してください。
信頼された CA のリストには、クライアント証明書の保留タンクに似た独自の保留タンクがあります。信頼された CA の保留タンク内にある CA 証明書エントリを取得するには、Microsoft の信頼されたルート証明書ストア内の CA に「接続」しており、そのサムプリントが関連するユーザープロファイルに一致しないクライアント証明書を使用して接続する必要があります。
信頼された CA を追加するには、他にも 2 つの方法があります。一つは、信頼された CA の CN を手動で入力する方法です。もう一つは、下にスクロールし、Microsoft の信頼されたルート証明書ストア (または Microsoft の中間 CA ストア) に既にインストールされている CA 証明書を選択する方法です。
信頼された CA のエントリを削除する場合は、信頼された CA が Microsoft の信頼されたルート証明書ストアにもインストールされている場合であっても、ポインタのみを削除します (必要に応じて、通常の MMC コンソールを使用して、Microsoft の信頼されたルート証明書ストアから証明書を直接削除してください)。
MOVEit Transfer のすべての組織は 1 つの CA 証明書を作成して使用し、MOVEit Transfer Web インターフェイスを通じて作成されたクライアント証明書に署名できます。このような CA 証明書は「自己署名」されますが、新しいクライアント証明書作成プロセスで作成された *.pfx クライアント証明書ファイルに自動的に含められ、インストールされます。
背景: MOVEit Transfer バージョン 4.0 では、同様のインターフェイスを通じて自己署名クライアント証明書 (CA によって署名されていない証明書) が生成されていました。しかし実際には、デフォルトの IIS 構成でサポートできる自己署名クライアント証明書は約 100 ~ 200 件にすぎません。そのため、MOVEit Transfer で作成されるクライアント証明書は現在 CA によって署名され、この制限を回避しています。
組織の証明書に署名する CA の作成方法とそのタイミング
クライアント証明書に署名する組織 CA を作成するよう指示された場合 ([Create New (新規作成)] リンクをクリックした後)、または次のような [Client Signing CA Cert (クライアント署名 CA 証明書)] セクションが表示された場合。
...組織のクライアント証明書に署名する CA の証明書を作成する必要があります。これを行うには、このセクションの [Create CA (CA の作成)] リンクをクリックし、次のフォームに入力します。この署名証明書は、管理者が MOVEit Transfer Web インターフェイスを通じて作成したすべてのクライアント証明書に表示されます。そのため、通常は時間をかけて、フォームの各質問に意味のある回答を入力してください。また、この証明書の有効期間は、現在または今後発行を予定している特定のクライアント証明書の有効期間より長くする必要があります。
組織の CA 証明書が作成されると、これは通常、クライアント証明書作成プロセスの非表示部分になります。CA 証明書のドロップダウンのような面倒なコントロールはありません。