SSL - クライアント証明書 - 概要

SSL サーバー証明書がクライアントに対してサーバーの識別情報を確認するために使用されるのと同様に、クライアントもまた、その識別情報を確認するための SSL 証明書をサーバーに提示できます。クライアントがサーバーに提示する SSL 証明書を、クライアント証明書と呼びます。ほとんどの SSL サーバーはクライアントにその証明書の提示を要求しませんが、クライアント証明書は追加の認証要素となるため、その提示を要求するサーバーが増えてきています。MOVEit Transfer では、FTP/SSL インターフェイスと HTTPS インターフェイスの両方でクライアント証明書の承認または要求をサポートしています。

ほとんどのクライアントキー/証明書スキームの場合と同様に、暗号化に並ぶ品質のクライアント証明書によって提供される高度なセキュリティは、追加の管理作業によって補われます。SSL サーバーでは通常、クライアント証明書を要求するかどうかを設定する必要があり、接続を続行するには、クライアント証明書がサーバーによって信頼されている必要があります (IIS は、クライアント証明書が存在する場合にそれを承認できますが、クライアント証明書が存在しない場合でも接続を許可できます)。サーバー証明書を信頼するのと同様に、クライアント証明書を信頼するには、証明書自体を信頼するか、または信頼された証明機関によって証明書が署名されている必要があります。

クライアント証明書の接続/認証基準

クライアント証明書を使用して、FTP/SSL または HTTPS インターフェイスに対して特定のユーザーを認証するには、次の「CA」条件の少なくとも 1 つに加えて、次の「認証情報」条件のいずれかに当てはまる必要があります。実際に MOVEit Transfer に接続するには、クライアント証明書が「CA」条件のいずれかに一致する必要があります。その一方で、「認証情報」条件のいずれかに一致すれば、クライアントを MOVEit Transfer に対して認証できます。

• CA 条件
  • クライアント証明書自体が、Microsoft の信頼されたルート証明書ストアにインストールされている必要があります。
  • CA 証明書自体が Microsoft の信頼されたルート証明書ストアにインストールされるか、署名チェーン内の CA が Microsoft の信頼されたルート証明書ストアにインストールされるため、クライアント証明書には、信頼された CA による署名が必要です。
• 認証情報条件
  • クライアント証明書のサムプリントが特定のユーザーのプロファイルに割り当てられている必要があります。
  • クライアント証明書のコモンネーム (CN) が特定のユーザーのプロファイルに割り当てられており、さらにクライアント証明書の CA が承認済みの CA の組織レベルリストに含まれている必要があります。
  • クライアント証明書のコモンネーム (CN) が特定のユーザーのユーザー名またはフルネームに一致し、組織レベルの [Match Cert CN to Username/Full Name (証明書の CN とユーザー名/フルネームを照合する)] オプションが有効になっており、さらにクライアント証明書の CA が承認済みの CA の組織レベルリストに含まれている必要があります。

    クライアント証明書の接続/認証の例 - 固定された証明書、柔軟な基準

    これらの条件が実際の証明書にどのように適用されるかを示すために、次の特徴があるクライアント証明書について検討します。

• CN = "Frank"
• サムプリント = "3D17 CFF3 E27B 127D 2753 A7F1 873E 2743 783B FBD2"
• CN が「Chug and Ring」である CA 証明書によって署名されている
• その CA 証明書は CN が「Toot」である別の CA 証明書によって署名されている

  この証明書を使用して特定のユーザーの接続および認証を行うには、次の「CA」条件のいずれかと次の「認証情報」条件のいずれかに当てはまる必要があります。

• SSL 接続を行うには、次の CA 条件のいずれかに当てはまる必要があります。
  • 「Frank」証明書が、Microsoft 証明書の信頼されたルート証明書ストアにインストールされている。
  • 「Chug and Ring」CA 証明書が、Microsoft 証明書の信頼されたルート証明書ストアにインストールされている。
  • 「Toot」CA 証明書が、Microsoft 証明書の信頼されたルート証明書ストアにインストールされている。
• クライアント証明書が特定のユーザーの有効な証明書として機能するには、次の「認証情報」条件のいずれかに当てはまる必要があります。
  • サムプリント「3D17 CFF3 E27B 127D 2753 A7F1 873E 2743 783B FBD2」が特定のユーザーのプロファイルに割り当てられている。
  • 「Frank」という CN が特定のユーザーのプロファイルに割り当てられており、さらに「Chug and Ring」が承認済みの CA の組織レベルリストに追加されている。
  • 特定のユーザーのユーザー名またはフルネームが「Frank」であり、組織レベルの [Match Cert CN to Username/Full Name (証明書の CN とユーザー名/フルネームを照合する)] オプションが有効になっており、さらに「Chug and Ring」が承認済みの CA の組織レベルリストに追加されている。

    クライアント証明書の接続/認証の例 - 柔軟な証明書、固定された基準

    図に示された例では、認証基準が固定されており、多数のさまざまなクライアント証明書を認証に使用できます。

• MOVEit Transfer サーバー: 証明書情報の 3 つの重要なストアと重要な設定を図に示します。
  • 「Rich」のユーザープロファイル (承認済みの証明書): 「Dick」という別の CN と同様に、いくつかのサムプリントをここに示します ([Match Cert CN to Username/Full Name (証明書の CN とユーザー名/フルネームを照合する)] オプションがオンになっているため、「Rich」も CN として許可されます)。
  • 信頼された CA: 認証用の CN を提示する証明書は、これらの CA のいずれかによって署名されている必要があります。1 つの CA (「Verisign」) が信頼された証明機関としてリストされていますが、この CA は Microsoft の信頼されたルート証明書ストアにインストールされていないため、この CA によって署名された証明書では接続に失敗します。
  • Microsoft の信頼されたルート証明書ストア: これは、クライアント証明書情報がインストールされる (参照されるのではない) 唯一の場所です。FTP/SSL 接続が機能するには、すべてのクライアント証明書がこのストア内の CA によって署名される (またはインストールされる) 必要があります。
  • [Match CN to Username/Fullname (CN とユーザー名/フルネームを照合する)]: 上記の「ユーザープロファイル」を参照してください。
• サードパーティの CA: 署名証明書が「ルートレベル」の CA によって署名されている、さまざまなサードパーティ CA といくつかの「リセラー」CA。

  

  この設定では、さまざまなクライアント証明書によって接続と認証が行われますが、その成功の度合いは、各証明書に関連付けられている CN、サムプリント、および CA によって異なります (自己署名証明書は大きな黒色のバーで示され、他のほとんどの証明書にはその CA の名前が記載されています)。

• 接続できないクライアント証明書: これらのクライアント証明書は、MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアにインストールされている証明書に「接続」できません。
• 接続できるが認証できないクライアント証明書: これらのクライアント証明書はすべて、MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアにインストールされている証明書に「接続」できます。ただし、これらの証明書は、次の理由で認証用として適切に登録されません。
  • 証明書の CN が一致するが、その CA が信頼された CA ではない。
  • 証明書のサムプリントがユーザープロファイルのサムプリントに一致しない。
• 接続して認証できるクライアント証明書: これらのクライアント証明書はすべて、MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアにインストールされている証明書に接続します。また、これらの証明書は、次の理由で適切に認証されます。
  • 証明書の CN が一致し、信頼された CA によって署名されている。
  • 証明書のサムプリントがユーザープロファイルのサムプリントに一致する。

クライアント証明書の管理

クライアント証明書のセキュリティを強化すると、管理上のオーバーヘッドが増加します。MOVEit Transfer では、クライアント証明書によってユーザーを管理するために、[Edit SSL Client Certificates (SSL クライアント証明書の編集)] ページを使用します。このページには、[User Profile (ユーザープロファイル)] からアクセスできます。

• クライアント証明書によってユーザーを管理するには:
  1. [USERS (ユーザー)] > [username (ユーザー名)] を選択します。[User Profile (user name) (ユーザープロファイル (ユーザー名))] ページが開きます。[User Authentication (ユーザー認証)] セクションを見つけます。
  2. [Credentials Required for Access (アクセスに必要な認証情報)] の下で、[HTTP Policy (HTTP ポリシー)] リンクまたは [FTP Policy (FTP ポリシー)] リンクをクリックします。[Edit HTTP Policy (HTTP ポリシーの編集)] ページ (または [Edit FTP Policy (FTP ポリシーの編集)] ページ) が開きます。
  3. ページの下部で [Edit SSL Client Certificates (SSL クライアント証明書の編集)] をクリックします。ユーザー向けのクライアント証明書管理ページが開きます。

     [Current SSL Client Certificates... (現在の SSL クライアント証明書)] セクションでは、次の操作を行うことができます。

     • 既存の証明書の削除。[X] アイコンをクリックします。
     • 追加 (手動)
     • ファイルからのインポート
     • 新規作成
     • 信頼された CA。Web インターフェイスで作成されたクライアント証明書に署名するために使用される、信頼された CA と組織 CA のリストにアクセスできます。

     [Holding Tank... (保留タンク)] セクションで、保留中の証明書エントリを承認または削除できます。