|
|
|
|
|
接続に関するその他の問題 (FTP 接続の問題など) と同様に、クライアント証明書の問題は、問題が発生する前にクライアントでどの程度のことができたかを分析することによって分類できます。次のガイドでは、クライアント証明書のトラブルシューティングプロセスの概要を示します。管理者は、すべてのクライアントがクライアント証明書を使用して正常に接続および認証するために満たす必要のある CA および認証情報の要件もよく理解する必要があります。
クライアント証明書に関する接続の問題は通常、TCP 接続を確立できない、SSL セッションを確立できない、認証できないという 3 つの問題のいずれかから生じます。クライアント証明書の問題をトラブルシューティングする際は、これらの要因を所定の順序で調べてください。FTP 接続の場合、TCP 接続については通常の FTP/SSL トラブルシューティングガイドに記載されています。他の 2 つの問題はこのセクションに記載されています。
Q: ユーザープロファイルで [Require Certs (証明書が必要)] をオンにしましたが、MOVEit Transfer はクライアント証明書を無視しています。
A:MOVEit Transfer Config ユーティリティの [FTP Ports (FTP ポート)] タブの [Client Cert (クライアント証明書)] ポートオプションも設定する必要があります。 クライアント証明書認証が成功するには、FTP クライアントが証明書以外の 2 つのポートのいずれかではなく、2 つのクライアント証明書ポートのいずれかに接続することも必要です。
Q: ユーザーをクライアント証明書に移行する最適な方法を教えてください。
A: MOVEit Transfer Config ユーティリティの [FTP Ports (FTP ポート)] タブの [Client Cert (クライアント証明書)] ポートオプションをオンにして、一致するファイアウォールポートを開きます。各クライアントが FTP クライアント証明書認証に移行する際、接続パラメータを証明書以外のポートからクライアント証明書ポートに切り替えるように指示します。
Q: クライアント証明書を生成しましたが、接続しようとしても、クライアント証明書の保留タンクに表示されません。
A:MOVEit Transfer でクライアントがそのクライアント証明書を使用して SSL 接続を確立できるようにするには、次の 2 つのいずれかを行う必要があります。自己生成されたクライアント証明書に、MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアに既に証明書がある CA が署名する必要があります。または、自己生成されたクライアント証明書自体を、MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアにインポートする必要があります。いずれの操作を行う手順も、「クライアント証明書 - インポートと作成」ページに記載されています。
Q: クライアント証明書の CN を特定のユーザーの有効な認証情報として承認しましたが、そのユーザーが接続しようとすると、「証明書が登録されていない」というエラーが表示されます。
A:おそらくクライアント証明書の CA が、組織内の信頼された CA として割り当てられていません。クライアント証明書の CA が [Client Cert CA Holding Tank (クライアント証明書の CA の保留タンク)] にあるかどうかを確認してください。
さらにサポートが必要な場合は、Ipswitch サポートサイトのナレッジベースを参照してください。