|
|
|
|
|
Der SHA-1-Daumenabdruck eines Client-Zertifikats bietet eine kryptographisch sichere Möglichkeit zu beweisen, dass ein bestimmtes Zertifikat den Angaben entspricht. Der CN eines Client-Zertifikats könnte jedoch auf Hunderten oder Tausenden von vollkommen gültigen Client-Zertifikaten vorhanden sein. Zur Nachverfolgung von Zertifikaten, die CN-Authentifizierung verwenden, folgt MOVEit Transfer deren Zertifizierungsstellenkette und lässt nur Zertifikate für die Authentifizierung zu, die von ausgewählten vertrauenswürdigen Zertifizierungsstellen signiert wurden.
Per Definition ist eine vertrauenswürdige Zertifizierungsstelle eine Zertifizierungsstelle, der eine Organisation vertraut, dass sie ordnungsgemäß (CN) benannte Zertifikate für die richtigen Benutzer bereitstellt. Wenn eine Zertifizierungsstelle Zertifikate mit dem gleichen CN für mehrere Benutzer ausstellt (z. B. die „Zertifizierungsstelle Thawte für kostenlose E-Mail-Zertifikate"), dann sollte diese Zertifizierungsstelle NICHT zu den vertrauenswürdigen Zertifizierungsstellen zählen. Wenn Ihre Organisation bereits über eine eigene Zertifizierungsstelle verfügt, sollte diese in Ihrer Liste von vertrauenswürdigen Zertifizierungsstellen enthalten sein. Auch Zertifizierungsstellen von externen Organisationen können ggf. als vertrauenswürdige Zertifizierungsstellen hinzugefügt werden, und zwar abhängig davon, ob sie Zertifikate mit eindeutigen CN-Namen für die richtigen Benutzer ausstellen.
Der Microsoft-Zertifkatspeicher für vertrauenswürdige Stammzertifikate enthält installierte Zertifikate von Zertifizierungsstellen. Alle Client-Zertifikate, die eine Verbindung zu MOVEit Transfer herstellen, müssen sich an ein Zertifikat „anketten“, das im Microsoft-Zertifkatspeicher für vertrauenswürdige Stammzertifikate installiert ist. Nachdem eine SSL-Verbindung hergestellt wurde, spielt jedoch der Microsoft-Zertifkatspeicher für vertrauenswürdige Stammzertifikate keine weitere Rolle mehr bei der Authentifizierung.
Die vertrauenswürdigen Zertifizierungsstellen sind eine (CN)-Liste von Zertifizierungsstellen. Hier sind keine Zertifikate installiert. Client-Zertifikate, die einen CN für die Authentifizierung bereitstellen, müssen von einer der hier aufgeführten Zertifizierungsstellen signiert sein. Zertifizierungsstellen in dieser Liste müssen sich jedoch nicht auch im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate befinden, solange jede vertrauenswürdige Zertifizierungsstelle an einen Eintrag im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate „angekettet“ ist. Die Liste der vertrauenswürdigen Zertifizierungsstellen ist auf der Seite der organisationsweiten SSL-Einstellungen verfügbar. Diese kann über die Seite Settings (Einstellungen) aufgerufen werden, indem Sie entweder dem Link Security | Interface Policy | FTP (Sicherheit - Schnittstellenrichtlinie - FTP) oder dem Link Security | Interface Policy | HTTP (Sicherheit - Schnittstellenrichtlinie - HTTP) folgen.
Eine Darstellung, wie die vertrauenswürdigen Zertifizierungsstellen und der Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate zusammenwirken, finden Sie unter Connect/Authenticate Examples (Beispiele für Verbinden/Authentifizieren) auf der Dokumentationsseite „Client Certs – Overview“ (Client-Zertifikate – Überblick).
Die Liste der vertrauenswürdigen Zertifizierungsstellen verfügt über einen eigenen Haltetank, ähnlich dem Haltetank für Client-Zertifikate. Um einen CA-Zertifikatseintrag im Haltetank für vertrauenswürdige Zertifizierungsstellen zu erhalten, muss ein Benutzer eine Verbindung mit einem Client-Zertifikat herstellen, das an eine Zertifizierungsstelle im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate „angekettet“ ist und dessen Daumenabdruck nicht mit dem zugehörigen Benutzerprofil übereinstimmt.
Es gibt zwei weitere Möglichkeiten, vertrauenswürdige Zertifizierungsstellen hinzuzufügen: Die erste besteht darin, den CN einer vertrauenswürdigen Zertifizierungsstelle manuell einzugeben. Die zweite besteht darin, einen Bildlauf nach unten durchzuführen und eines der Zertifizierungsstellenzertifikate auszuwählen, die bereits im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate (oder im Microsoft-Zwischenzertifizierungsstellenspeicher) installiert sind.
Wenn Sie den Eintrag für eine vertrauenswürdige Zertifizierungsstelle löschen, löschen Sie nur einen Zeiger, selbst wenn die vertrauenswürdige Zertifizierungsstelle auch im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate installiert ist. (Sie müssen Zertifikate direkt im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate über die normale MMC-Konsole löschen, wenn dies die gewünschte Aktion ist.)
Jede Organisation in MOVEit Transfer kann ein einzelnes Zertifizierungsstellenzertifikat erstellen und verwenden, um alle über die Webschnittstelle von MOVEit Transfer erstellten Client-Zertifikate zu signieren. Diese Zertifizierungsstellenzertifikate sind „selbstsigniert“, werden jedoch den bei der Erstellung der neuen Client-Zertifizierung erstellten „*.pfx“-Client-Zertifikat-Dateien automatisch hinzugefügt und durch diese installiert.
Hintergrund: In Version 4.0 wurden von MOVEit Transfer über eine ähnliche Benutzeroberfläche selbstsignierte Client-Zertifikate generiert (d. h. Zertifikate, die von keiner Zertifizierungsstelle signiert wurden). In der Praxis können jedoch nur etwa 100 bis 200 selbstsignierte Client-Zertifikate unter der IIS-Standardkonfiguration unterstützt werden, sodass von MOVEit Transfer erstellte Client-Zertifikate jetzt von einer Zertifizierungsstelle signiert sind, um diese Einschränkung zu vermeiden.
Vorgehensweise und Zeitpunkt für die Erstellung einer Organisations-Zertifizierungsstelle zur Zertifikatssignierung
Wenn Sie zur Erstellung einer Organisations-Zertifizierungsstelle zum Signieren von Client-Zertifikaten geleitet werden (nach dem Klicken auf den Link Create New (Neues erstellen) oder ein Abschnitt Client Signing CA Cert (Client-Signatur für Zertifizierungsstellenzertifikate) wie der folgende Abschnitt angezeigt wird:
...sollten Sie eine Client-Zertifikatsignatur für Zertifizierungsstellenzertifikate für die Organisation erstellen. Klicken Sie dazu auf den Link Create CA Certificate (CA-Zertifikat erstellen) in diesem Abschnitt und füllen Sie das folgende Formular aus. Dieses Signaturzertifikat ist auf jedem Client-Zertifikat sichtbar, das Sie oder ein anderer Administrator über die Webschnittstelle von MOVEit Transfer erstellen. Daher lohnt sich in der Regel der Zeitaufwand, für jede Frage in dem Formular eine sinnvolle Antwort anzugeben. Außerdem sollte die Dauer dieses Zertifikats LÄNGER sein als die Dauer jedes einzelnen Client-Zertifikats, das Sie jetzt oder in Zukunft ausstellen.
Nachdem eine Organisations-Zertifizierungsstelle erstellt wurde, ist sie generell ein unsichtbarer Bestandteil des Erstellungsvorgangs für Client-Zertifikate. Sich um ein CA-Zertifikat-Dropdown- oder ähnliches Bedienelement zu kümmern, ist daher nicht erforderlich.