SSL – Client-Zertifikate – Hardware-Token – Aladdin eToken

MOVEit Transfer unterstützt die Verwendung von SSL-Client-Zertifikaten, einschließlich Zertifikaten auf Hardware-Token, für die Authentifizierung bei MOVEit Transfer über seine FTPS- oder HTTPS-Schnittstellen. Dieses Dokument erläutert die Konfiguration eines Aladdin eToken Pro zur Verwendung mit MOVEit Transfer.

Das eToken Pro ist eine kleine, USB-basierte kryptografische Vorrichtung, die Client-Zertifikate speichern kann. Wenn ein SSL-fähiger FTP-Client oder Webbrowser ein auf einem eToken gespeichertes Client-Zertifikat verwenden möchte, rufen die Aladdin-Softwaretreiber das Zertifikat aus dem Token ab und übergeben es der Anwendung. Das Token muss zu dem Zeitpunkt, an dem es benötigt wird, physisch mit dem Computer verbunden sein.

Installieren des eTokens

Bevor Sie das eToken mit dem Computer verbinden, legen Sie die Aladdin CD-ROM ein und wählen Install eToken RTE (eToken RTE installieren) aus. Dadurch werden die USB-Treiber sowie ein einfaches „eToken-Eigenschaften“-Dienstprogramm installiert. Wenn Sie Zertifikate auf ein Token kopieren möchten, müssen Sie auf der CD außerdem Install Utilities (Dienstprogramme installieren) auswählen.

Hinweise zu den eToken-Dienstprogrammen: Zum Verwalten von eTokens ist kein separater Verwaltungscomputer erforderlich: Endbenutzer können die gesamte eToken-Konfiguration auf ihrem eigenen Computer selbst durchführen. Wenn Sie Endbenutzern erlauben möchten, die Zertifikate auf ihren eTokens selbst zu verwalten, müssen die eToken-Dienstprogramme auf jedem Computer installiert werden.

Wenn ein Administrator die Zertifikat-Verwaltung für alle eTokens auf einem separaten Verwaltungscomputer durchführt, ist es nicht erforderlich, die eToken-Dienstprogramme auf den Endbenutzercomputern zu installieren. Damit jedoch ein Administrator alle eTokens auf einem einzelnen Verwaltungscomputer konfigurieren kann, müssen auch die einzelnen Client-Zertifikate auf diesem Computer installiert sein.

Nach der Installation der Software fügen Sie das USB-Token ein. (Sie müssen den Computer nicht neu starten.) Das rote Licht innerhalb des Tokens (von allen Seiten sichtbar) sollte aufleuchten.

Führen Sie die Befehlsfolge „Start | Programs | eToken | eToken Properties“ (Start - Programme - eToken - eToken-Eigenschaften) aus und ändern Sie den Standardwert „1234567890“ des Token-Kennworts.

Kopieren von Zertifikaten auf das eToken

Nachdem Sie auf dem Computer ein Zertifikat erstellt und installiert haben, können Sie es auf das eToken kopieren:

• Führen Sie die Befehlsfolge „Start | Programs | eToken | Utilities | eToken Certificate Converter“ (Start - Programme - eToken - Dienstprogramme - eToken-Zertifikat-Konverter) aus.
• Wählen Sie einen vorhandenen Zertifikatnamen im linken Bereich aus.
• Aktivieren Sie das Kontrollkästchen Delete original certificate and keys (Ursprüngliches Zertifikat und Schlüssel löschen). Dadurch wird der Schlüssel aus dem lokalen Zertifikatspeicher entfernt, nachdem er auf das Token kopiert wurde. Wenn Sie Delete original (Ursprüngliches ... löschen) nicht aktivieren, sollten Sie dies zu einem späteren Zeitpunkt tun, möglicherweise über die Internet Explorer-Befehle Tools | Internet Options... (Extras - Internetoptionen) | Content | Certificates... (Inhalte - Zertifikate) Wenn sich der Schlüssel des Zertifikats sowohl auf dem Computer als auch auf dem Token befindet, würde ein Hardware-Token sonst wenig Sinn machen.
• Wählen Sie >> Import to eToken >> (Nach eToken importieren). Sie werden nach dem Kennwort für das mit Ihrem Computer verbundene eToken gefragt.
• Geben Sie das Kennwort ein. Nach einigen Sekunden erscheint die Meldung „The operation was successful“ (Der Vorgang war erfolgreich).
• Wählen Sie „OK“ aus. Nachdem Sie auf „OK“ geklickt haben, wird im rechten Bereich des Fensters jetzt das Zertifikat angezeigt.
• Wählen Sie „Exit“ (Beenden) aus.

Wenn Sie das Hardware-Token auf einen anderen Computer verschieben, müssen Sie (außer der Installation des eToken RTE) keine speziellen Schritte durchführen, damit der Computer das Zertifikat verwenden kann.

Sie können das Programm „eToken Properties“ (eToken-Eigenschaften) erneut ausführen, um sicherzustellen, dass sich das Zertifikat jetzt auf dem Token befindet. Sie können außerdem den Internet Explorer verwenden, um sicherzustellen, dass das Zertifikat verfügbar ist. Wählen Sie dazu Tools | Internet Options... (Extras - Internetoptionen...) | Content | Certificates... (Inhalte - Zertifikate) Wenn Sie das Token entfernen, zeigt das Microsoft Zertifikate-Applet das Zertifikat danach nicht an.

Wenn Sie einen FTP-Client oder Webbrowser ausführen, der das Zertifikat verwendet, wird ein Dialogfeld eToken Base Cryptographic Provider (eToken Basis-Kryptografieanbieter) angezeigt, in dem bei jeder Ausführung des Programms nach dem Kennwort des Tokens gefragt wird.