|
|
|
|
|
MOVEit Transfer は Microsoft の IIS サーバーを使用して HTTPS 接続サービスを提供します。したがって、MOVEit Transfer は IIS を使用してクライアント証明書機能も提供する必要があります。
MOVEit Transfer ユーザーは信頼されたクライアント証明書または Microsoft の信頼されたルート証明書ストアに保存されているクライアント証明書を使用する必要がありますが、MOVEit Transfer の証明書管理インターフェイスは通常、この要件に自動的に対応します。このセクションでは、MOVEit Transfer のインストール/アップグレードによって、クライアント証明書サポート (デフォルト) ともう一つのサポートされているオプションのオン/オフを切り替える IIS 設定について重点的に取り上げます。
MOVEit Transfer をインストールするか、またはバージョン 4.0 以降にアップグレードするとすぐに、その Web インターフェイスでクライアント証明書認証がサポートされます。IIS を手動で変更する必要はありません。インストール/アップグレードプログラムにより、必要な IIS 設定が水面下で行われます。
個々のユーザーアカウントに対する認証要件フラグによって、クライアント証明書が必要かどうかと、どのクライアント証明書を認証に使用できるかが制御されます (詳細については、「Web インターフェイス - ユーザー - プロファイル」を参照してください)。
MOVEit Transfer のデフォルトでは、[Accept client certificates (クライアント証明書の承認)] フラグは humancc.aspx と machinecc.aspx という 2 つのファイルで設定されます。これらのファイルの「cc」は、「クライアント証明書」を表します。
すべての Web ブラウザセッションは human.aspx を使用して認証する必要があり、その他のすべてのクライアントは machine.aspx を使用して認証する必要があります。ユーザーが human.aspx または machine.aspx を使用して認証しようとし、ユーザーのアカウントにクライアント証明書認証が必要であることが MOVEit Transfer で検出されると、MOVEit Transfer によってユーザーのセッションが humancc.aspx または machinecc.aspx に自動的にリダイレクトされます。この時点で、クライアント証明書の認証情報がユーザーに要求されるか (Web ブラウザを使用している場合)、またはクライアント証明書の認証情報が使用されます (別のクライアントを使用している場合)。「2 番目のサインオンページ」は表示されません。つまり、ユーザーから見ると、サインオン操作全体が 1 回の送信だけで済みます。
その他のファイルやフォルダーは [Accept client certificates (クライアント証明書の承認)] に設定されません。MOVEit Transfer のリソースへのアクセスは、必要なクライアント証明書を使用してユーザーが認証を行った後にのみ可能になります。そのため、認証ゲートウェイのみを [Accept client certificates (クライアント証明書の承認)] に設定する必要があります。
MOVEit Transfer IIS Web サイトでは、サイト全体の [Accept client certificates (クライアント証明書の承認)] フラグを設定しないでください。この設定はサポートされておらず、個々の MOVEit Transfer ユーザーが認証時にクライアント証明書を使用するよう要求するために必要ではありません。
moveitdmz IIS サイトでサイト全体の [Accept client certificates (クライアント証明書の承認)] がオンにされた可能性がある場合、次のような 2 つの兆候が現れます。
通常、IIS サイトのフラグを [Require client certificates (クライアント証明書を要求)] に設定する必要はありません。また、絶対に必要な場合を除き、通常は推奨されません。リモートシステムの管理者、エンドユーザー、およびオペレータが大量の作業を行う必要がある場合は、MOVEit Transfer のアプリケーションレベルのクライアント証明書を使用することをお勧めします。
さらに、[Require client certificates (クライアント証明書を要求)] フラグは、Windows Server 2003 で実行されている MOVEit Transfer ソフトウェアでのみサポートされています。
MOVEit Transfer の FTP、SSH、ISAPI、および関連サービスは多くの場合、HTTP/S ベースの XML トランザクションを通じて MOVEit Transfer のコアアプリケーションと通信します。この通信を [Require client certificates (クライアント証明書を要求)] 環境で続行できるようにするには、元の moveitdmz IIS のコピーを作成し、localhost 接続のみをリッスンするように設定する必要があります。
この追加のサイトを設定し、IIS サイト全体の [Require client certificates (クライアント証明書を要求)] フラグを設定する際に MOVEit Transfer がそのサイトを使用するように設定するには、次の手順に従います。
moveitdmz IIS サイトのデフォルトのクライアント証明書プロパティは [Require... (要求)] に設定されますが、Java アップロード/ダウンロードウィザードの使用をサポートするために、以下のフォルダーは必ず [Ignore client certificates (クライアント証明書を無視)] に設定する必要があります。
MOVEit Transfer のインストールプログラムおよびアップグレードプログラムを実行すると、これらのフォルダーに対して [Ignore client certificates (クライアント証明書を無視)] が自動的に再設定されます (ただし、修復インストール操作では、これらのパラメータは再設定されません)。
[Require... (要求)] から [Accept... (承認)] に戻す最も簡単な方法は、IIS サイトレベルのクライアント証明書要件を [Require... (要求)] から [Ignore...(無視)] に変更し、MOVEit Transfer のアップグレード (単なる「修復」ではない) によって IIS Web サイト内の他の要素に対して適切なプロパティを強制的に再設定することです MOVEit Transfer のアップグレードの実行方法に関するヒントは、MOVEit カスタマーポータルをご覧ください。
それ以外の場合、IIS サイトレベルのクライアント証明書要件を [Require... (要求)] から [Ignore...(無視)] に変更し (すべてのサブフォルダーのオーバーライドを選択した場合)、humancc_aspx ファイルと machinecc_aspx ファイルで [Accept client certificates (クライアント証明書の承認)] フラグを以下のように設定します。
いずれかの手順を行った後、サイト全体の [Require... (要求)] フラグの設定に必要な追加の localhost IIS サイトを削除することが必要になる場合もあります。moveitdmz サイトが特定の IP アドレスにバインドされている場合、MOVEit Transfer Config ユーティリティの [Paths (パス)] タブにある [Machine URL (マシンの URL)] の変更が必要になる場合もあります。