SSL – Client-Zertifikate – Haltetank

Im Client-Zertifikat-Haltetank befinden sich Zertifikate, die von einem Benutzer als Anmeldeinformationen für die Authentifizierung übergeben wurden, jedoch noch nicht als gültige Anmeldeinformationen für diesen Benutzer akzeptiert wurden. Bei jeder Herstellung einer SSL-Verbindung und Übergabe eines gültigen Benutzernamens zusammen mit einem gültigen Zertifikat erfolgen automatisch Einträge in den Haltetank. Haltetank-Einträge werden NICHT erstellt, wenn eine SSL-Verbindung aufgrund von Vertrauensproblemen bei einem Client-Zertifikat nicht hergestellt werden konnte.

Verwenden Sie den Haltetank, um bestimmte Zertifikate für Benutzer zu akzeptieren, ohne in einem Benutzerprofil Zertifikate manuell hinzufügen, importieren oder erstellen zu müssen.

So baut ein FTP/SSL-Client eine Verbindung mit einem neuen Zertifikat auf

Das folgende Verfahren beschreibt, wie ein FTP/SSL-Client eine Verbindung mit einem neuen Zertifikat aufbauen und den Fingerabdruck des Zertifikats einem Administrator zum späteren Verbreiten/Akzeptieren im Profil des Benutzers hinterlassen kann. Jeder FTP/SSL-Benutzer, dessen Client bereits über ein installiertes SSL-Client-Zertifikat verfügt, das von einer Registrierungsstelle signiert wurde, die im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate für MOVEit Transfer registriert ist, kann dieses Verfahren verwenden.

Veranlassen Sie zuerst den Remote-FTP-/SSL-Client, eine Verbindung zu MOVEit Transfer herzustellen. Diese Verbindung sollte fehlschlagen. Beispielsweise versucht die folgende MOVEit Freely-Sitzung, eine Verbindung mit einem Client-Schlüssel aufzubauen und schlägt fehl.

C:\>ftps -ccn:lucy -e:on -a -user:moveitfreelydemo -password:<Ihr_Client_Kennwort> dotnet 

220-Sicherheitshinweis 

220-Sie sind im Begriff, auf eine gesicherte Ressource zuzugreifen. Ext Auth Mania behält sich das 

220 Recht vor, diese Ressource jederzeit zu überwachen und/oder den Zugriff darauf zu beschränken. 

234 SSL aktiviert; die Verhandlung starten 

Verbunden mit dotnet. 

530 Nicht angemeldet. Client-Zertifikat ist nicht registriert. 

ftp> beenden 

221 Goodbye

Als Nächstes melden Sie sich bei MOVEit Transfer als Administrator an und wechseln zur Seite Client Cert Administration (Client-Zertifikat-Administration) des Benutzers, der gerade versucht hat, sich zu authentifizieren. Im zweiten Abschnitt auf dieser Seite werden die Haltetank-Einträge für diesen Benutzer angezeigt.

Beachten Sie, dass bei einem einzelnen Authentifizierungsversuch ZWEI Einträge im Haltetank gestellt werden: ein Eintrag für den CN des Zertifikats und ein Eintrag für den Daumenabdruck. Beide können durch Klicken auf den Link „Accept“ (Akzeptieren) für den jeweiligen Eintrag akzeptiert werden.

Wenn Sie den CN des Zertifikats akzeptieren, vermeiden Sie Probleme mit der Zertifikatserneuerung, wenn der Endbenutzer ein aktualisiertes Zertifikat mit demselben CN, jedoch einem anderen Ablaufdatum erhält. Sie gehen jedoch auch das Risiko eines CN-Konflikts ein, wenn eine der vertrauenswürdigen Zertifizierungsstellen dieser Organisation CNs mit demselben Namen an mehrere Personen ausstellt (z. B. kostenlose E-Mail-Zertifikate von Thawte) oder Sie mehrere vertrauenswürdige Zertifizierungsstellen haben.

Wenn Sie den Daumenabdruck des Zertifikats akzeptieren, treten Probleme mit der Zertifikatserneuerung auf, wenn der Endbenutzer ein aktualisiertes Zertifikat mit demselben CN, jedoch einem anderen Ablaufdatum erhält. Sie vermeiden jedoch das Risiko eines CN-Konflikts, wenn eine der vertrauenswürdigen Zertifizierungsstellen dieser Organisation CNs mit demselben Namen an mehrere Personen ausstellt (z. B. kostenlose E-Mail-Zertifikate von Thawte) oder Sie mehrere vertrauenswürdige Zertifizierungsstellen haben.

Wenn Sie eine begrenzte Anzahl von vertrauenswürdigen Organisations-Zertifizierungsstellen verwenden (wenn z. B. Ihre Organisation ihre eigene Zertifizierungsstelle ist), sollten Sie evtl. CN-Namen akzeptieren. Wenn Sie viele vertrauenswürdige Zertifizierungsstellen verwenden oder Zertifizierungsstellen berücksichtigen, die Zertifikate mit demselben CN an mehrere Personen ausstellen, sollten Sie evtl. Daumenabdrücke akzeptieren. (Bei Authentifizierungen mit dem Daumenabdruck von Client-Zertifikaten wird die Liste der vertrauenswürdigen Zertifizierungsstellen nicht beachtet.)

In unserem Beispiel akzeptieren wir den „SSL CN“ des Client-Zertifikats, da es von einer Zertifizierungsstelle ausgestellt wurde, die niemals Zertifikate mit demselben CN für verschiedene Personen ausstellt.

Nachdem entweder der CN oder der Daumenabdruck akzeptiert wurde, erscheint der Bildschirm Confirm Holding Tank Deletion (Löschen in Haltetank bestätigen). Er enthält eine Erfolgsmeldung und den akzeptierten Wert (in diesem Fall den CN) sowie die Frage: „Are you sure you want to delete this Holding Tank entry?“ (Möchten Sie diesen Haltetank-Eintrag wirklich löschen?) Der Standardwert ist Yes (Ja), wodurch der Eintrag gelöscht wird. Mit „No“ (Nein) muss sowohl der CN als auch der Daumenabdruck im Benutzereintrag hinzugefügt werden. In diesem Fall muss der Benutzer ein Zertifikat mit dem korrekten CN oder dem korrekten Daumenabdruck bereitstellen, jedoch nicht beides).

Sie werden zur Seite „Client Cert Administration“ (Client-Zertifikat-Administration) zurück geführt, auf der der neu akzeptierte Eintrag aufgeführt wird. An diesem Punkt versuchen Sie erneut, sich beim FTP-Client anzumelden.

C:\>ftps -ccn:lucy -e:on -a -user:moveitfreelydemo -password:<Ihr_Client_Kennwort> dotnet 

220-Sicherheitshinweis 

220-Sie sind im Begriff, auf eine gesicherte Ressource zuzugreifen. Ext Auth Mania behält sich das 

220 Recht vor, diese Ressource jederzeit zu überwachen und/oder den Zugriff darauf zu beschränken. 

234 SSL aktiviert; die Vermittlung starten. Verbunden mit dotnet. 

331 Kennwort erforderlich für moveitfreelydemo 

230-Willkommen bei der JGL Test-Org. Wir wünschen Ihnen einen schönen Aufenthalt und viel Vergnügen! 

230 Benutzer moveitfreelydemo angemeldet. 

200 PBSZ-Befehl erfolgreich 

200 PORT-Befehl erfolgreich 

215 Windows_NT Version 5.0 (MOVEit DMZ FTP 3.1.8.6) 

200 Integrity mode selected 

ftp>

Dieses Mal war der Anmeldeversuch erfolgreich.

Importieren von Zertifikaten aus dem organisationsweiten Haltetank

Der Haltetank ist organisationsweit und enthält eine Liste aller nicht zugewiesenen Zertifikate für alle Benutzer in der Organisation.

• So zeigen Sie den Haltetank an:
  1. Klicken Sie auf SETTINGS > Security > Interface Policy (EINSTELLUNGEN - Sicherheit - Schnittstellenrichtlinie), klicken Sie auf den Link FTP oder HTTP, und klicken Sie dann auf View Tank Keys (Schlüssel im Tank anzeigen).
  2. Um bestimmte Zertifikate zuzuweisen, klicken Sie in die Gesamtliste mit dem Link View Tank Keys (Schlüssel im Tank anzeigen). Zertifikatinformationen werden nach Benutzername und dann nach Typ aufgeführt.
  3. Wählen Sie ein Zertifikat aus und klicken Sie auf Accept (Akzeptieren). Sie werden zum organisationsweiten Haltetank zurück geführt.

Löschen von nicht zugewiesenen Zertifikaten aus dem Haltetank

Nicht zugewiesene Zertifikate werden nach einer bestimmten Anzahl von Tagen automatisch aus dem Haltetank gelöscht. Die genaue Anzahl der Tage ist eine konfigurierbare Option unter der organisationsweiten SSL-Richtlinie. (Dieser Wert gilt für nicht zugewiesene SSH-Client-Schlüssel sowie nicht vertrauenswürdige Zertifizierungsstellenzertifikate im Haltetank.)

Nicht zugewiesene Zertifikate können auch manuell aus dem Haltetank eines einzelnen Benutzers oder dem organisationsweiten Haltetank gelöscht werden, indem Sie einen der angegebenen Links Delete (Löschen) oder Delete all (Alle löschen) verwenden.