|
|
|
|
|
Die einfachste Möglichkeit, einem Benutzer mit einem vorhandenen Client-Zertifikat die Authentifizierung mit diesem Client-Zertifikat zu erlauben, besteht häufig darin, den Benutzer zu veranlassen, sich einmal anzumelden und dann die in den Haltetanks des Benutzers und der Organisation angezeigten Zertifikateinträge zu akzeptieren (weitere Informationen finden Sie auf der Seite „Haltetank“). Manchmal ist ein Benutzer jedoch in der Lage, sein Zertifikat Administratoren präsentieren, bevor es sich zum ersten Mal anmeldet. In diesem Fall können Administratoren das Zertifikat in Speicher von MOVEit Transfer importieren, und bei Bedarf auch in den vertrauenswürdigen Microsoft-Stammspeicher.
Aufgrund der Funktionsweise von SSL-Zertifikaten benötigen Administratoren als einzige Komponente zum Importieren des Client-Zertifikats eines Benutzers den „öffentlichen“ Teil. (Der „private“ Teil eines Client-Zertifikats muss vom Benutzer aufbewahrt werden und darf NICHT an eine andere Person weitergegeben werden.) Wenn der Benutzer den öffentlichen Teil seines Zertifikats bereitstellen kann, kann dieser über die Seite „Import Existing Client Certificate“ (Existierendes Client-Zertifikat importieren) in MOVEit Transfer importiert werden. Um zu dieser Seite zu gelangen, wechseln Sie zur Seite Client Cert Administration (Client-Zertifikat-Administration) und klicken auf den Link Import (Importieren).
Nach dem Import kann MOVEit Transfer die Art des Zertifikats automatisch bestimmen. Wie auf dieser Seite angegeben, fügt MOVEit Transfer bei einem selbstsignierten Zertifikat dem Benutzereintrag den Daumenabdruck des Zertifikats hinzu und importiert das Zertifikat in den vertrauenswürdigen Microsoft-Stammspeicher, sodass ein Benutzer, der das Zertifikat verwendet, eine Verbindung zum Server herstellen kann. Wenn das Zertifikat von einer Zertifizierungsstelle signiert ist, überprüft MOVEit Transfer zunächst, ob die aktuelle Organisation dieser Zertifizierungsstelle vertraut. Wenn dies der Fall ist, fügt MOVEit Transfer dem Benutzereintrag den CN des Zertifikats hinzu. Andernfalls wird ein Fehler zurückgegeben und der Administrator wird aufgefordert, der Zertifizierungsstelle zu vertrauen, um fortfahren zu können.
Wenn ein Benutzer über ein bestehende Client-Zertifikat verfügt, jedoch den öffentlichen Teil Administratoren nicht direkt bereitstellen kann, gibt es dennoch eine Möglichkeit, ein Element dieses Zertifikats mit dem Konto des Benutzers zu verknüpfen, vorausgesetzt, der Benutzer kann den Administratoren spezifische Informationen über das Zertifikat geben. Wenn der Benutzer den Daumenabdruck oder den CN seines Client-Zertifikats bereitstellen kann, können Administratoren diese Informationen dem Benutzereintrag hinzufügen, indem sie auf die Seite „Client Cert Administration“ (Client-Zertifikat-Administration) wechseln und auf den Link Add manuallly (Manuell hinzufügen) klicken.
Hier kann der Administrator den Daumenabdruck oder den CN des Zertifikats in das vorgesehene Textfeld eingeben und dann den Datentyp für die Eingabe auswählen. Durch Klicken auf die Schaltfläche „Add Certificate“ (Zertifikat hinzufügen) werden die eingegebenen Informationen dem Benutzereintrag hinzugefügt.
Hinweis: Diese Methode löst keine Vertrauensprobleme. Damit der Benutzer mit seinem Client-Zertifikat eine Verbindung zum Server herstellen kann, muss das Zertifikat auch noch vertrauenswürdig sein, und zwar entweder indem es sich im vertrauenswürdigen Microsoft-Stammspeicher befindet, falls es selbstsigniert ist, oder indem es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde.
Wenn ein Benutzer kein Client-Zertifikat besitzt, kann von MOVEit Transfer ein von der Zertifizierungsstelle der Organisation signiertes Zertifikat generiert werden. Dieses Zertifikat wird über den Daumenabdruck automatisch mit dem Benutzerkonto verknüpft und dem Administrator als Datei „[Benutzername].pfx“ bereitgestellt, sodass der Administrator das Zertifikat dem Benutzer bereitstellen kann. Der Benutzer muss dann das neue Zertifikat in seinen Client-Zertifikatspeicher importieren, gleichgültig über welchen Client er die Verbindung zum Server herstellt. (In den meisten Windows-Umgebungen wird durch das Öffnen einer Client-Zertifikatsdatei „*.pfx“ ein Assistent für den Import von Client-Zertifikaten aufgerufen.)
Um ein neues Client-Zertifikat für einen Benutzer zu erstellen, wechseln Sie zur Seite „SSL-Client Cert Administration“ (SSL-Client-Zertifikat-Administration) dieses Benutzers und klicken Sie auf den Link Create New (Neu erstellen). Wenn Sie derzeit über keine Organisations-Zertifizierungsstelle zum Signieren neuer Client-Zertifikate verfügen, wird ein Link bereitgestellt, über den sie eine solche Zertifizierungsstelle erstellen können (falls Sie Voll-Aministrator sind). Andernfalls wird ein Formular geöffnet, über das Sie standardmäßige Zertifikatsinformationen angeben können. Einige Felder sind bereits mit bekannten Werten ausgefüllt.
Hinweis: Merken Sie sich unbedingt das eingegebene oder ausgewählte Kennwort. Dieses Kennwort muss dem Endbenutzer bereitgestellt werden, um das neue Zertifikat erfolgreich zu importieren.
Durch Klicken auf die Schaltfläche „Create Certificate“ (Zertifikat erstellen) wird eine Bestätigungsseite mit Details des neuen Zertifikats geöffnet.
Nach dem Klicken auf die Schaltfläche „Create and Download Certificate“ (Zertifikat erstellen und herunterladen) wird das Zertifikat erstellt, von der Organisations-Zertifizierungsstelle signiert, mit dem Benutzer verknüpft und dem Administrator zum Herunterladen übergeben. Der Administrator muss dem Benutzer die neue Zertifikatsdatei „*.pfx“ bereitstellen, sodass sie, zusammen mit dem Kennwort, das auf der Seite „Create Client Certificate“ (Client-Zertifikat erstellen) ausgewählt wurde, importiert werden kann.
Der Benutzer sollte die im Abschnitt Erste Schritte – Anmeldung angegebenen Verfahren befolgen, um sein Cient-Zertifikat in den Browser zu importieren.