SSL – Client-Zertifikate – Problembehandlung

Wie andere Verbindungsprobleme, beispielsweise bei FTP-Verbindungen, können Client-Zertifikat-Probleme aufgeschlüsselt werden, indem analysiert wird, wie groß der Leistungsumfang des Clients war, bevor Probleme aufgetreten sind. Der folgende Leitfaden gibt einen schnellen Überblick über die Problembehandlung bei Client-Zertifikaten. Machen Sie sich außerdem unbedingt mit den Anforderungen für Zertifizierungsstellen und Berechtigungen vertraut, die alle Clients für die erfolgreiche Verbindung und Authentifizierung mit einem Client-Zertifikat erfüllen müssen.

Verbindungsprobleme in Zusammenhang mit Client-Zertifikaten basieren in der Regel auf einem von drei Problemen: Fehler beim Herstellen einer TCP-Verbindung, Fehler beim Herstellen einer SSL-Sitzung und Fehler bei der Authentifizierung. Prüfen Sie diese Faktoren bei der Problembehandlung von Client-Zertifikatsproblemen in der angegebenen Reihenfolge. Für FTP-Verbindungen wird die TCP-Verbindung im regulären Handbuch zur Problembehandlung bei FTP/SSL behandelt, die anderen beiden Probleme werden hier behandelt.

• Problem: Nicht verbunden
  • Stellen Sie sicher, dass es sich nicht um Firewall- und sonstige grundlegende Verbindungsprobleme handelt
  • Ist der Client für die Verwendung eines Client-Zertifikats konfiguriert?
  • Akzeptiert der Client das MOVEit Transfer-Server-Zertifikat?
  • Ist die Zertifizierungsstelle des Client-Zertifikats im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate von MOVEit Transfer installiert? (Falls nicht, ist das Client-Zertifikat selbst hier installiert?)
• Problem: Authentifizierung nicht möglich
  • Wenn keine Verbindung hergestellt werden kann, brauchen Sie sich um Authentifizierungsprobleme noch nicht zu kümmern.
  • Überprüfen Sie das Benutzerprofil.
    • Ist ein Client-Zertifikat erforderlich? (Falls nicht, handelt es sich um ein Kennwortproblem.)
    • Falls ein Kennwort erforderlich ist, wenn ein Client-Zertifikat angefordert wird, wurde vom Client eines bereitgestellt?
    • Wenn die organisationsweite Option zum Abgleichen von CN-Namen von Zertifikaten mit Benutzernamen/Echtnamen aktiviert ist und der CN-Name des Client-Zertifikats mit dem Benutzernamen/Echtnamen des Benutzers übereinstimmt, ist die Zertifizierungsstelle des Client-Zertifikats in der organisationsweiten Liste der vertrauenswürdigen Zertifizierungsstellen enthalten?
    • Sind andernfalls Einträge im Haltetank für Client-Zertifikate des Benutzers enthalten? (Falls ja, akzeptieren Sie den entsprechenden Eintrag.)
    • Ist der CN-Name des Client-Zertifikats als akzeptiertes Zertifikat im Benutzerprofil aufgelistet? Falls ja, stellen Sie sicher, dass die Zertifizierungsstelle des Client-Zertifikats in der organisationsweiten Liste der vertrauenswürdigen Zertifizierungsstellen enthalten ist.)
  • Erstellen Sie einen Benutzerbericht für den Benutzer. Überprüfen Sie die Protokolleinträge auf weitere Hinweise.

Häufig gestellte Fragen

F: Ich habe in meinem Benutzerprofil aktiviert, dass Zertifikate erforderlich sind, aber MOVEit Transfer ignoriert das Client-Zertifikat.
A: Sie müssen auch die Ports-Option Client Cert (Client-Zertifikat) auf der Registerkarte FTP Ports des MOVEit Transfer Konfigurations-Dienstprogramms konfigurieren. Ihr FTP-Client muss außerdem eine Verbindung zu einem der beiden Client-Zertifikat-Ports anstatt zu einem der beiden Nichtzertifikat-Ports herstellen, bevor die Client-Zertifikat-Authentifizierung erfolgreich ist.

F: Welches ist die beste Möglichkeit, meine Benutzer auf Client-Zertifikate zu migrieren?
A: Aktivieren Sie die Ports-Option Client Cert (Client-Zertifikat) auf der Registerkarte FTP Ports des MOVEit Transfer- Konfigurations-Dienstprogramms (und öffnen Sie die entsprechenden Firewall-Ports). Weisen Sie jeden Ihrer Clients bei der Migration auf FTP-Client-Zertifikat-Authentifizierung an, die Verbindungsparameter von einem Nichtzertifikat-Port auf einen Client-Zertifikat-Port umzustellen.

F: Ich habe ein Client-Zertifikat generiert, aber wenn ich eine Verbindung herstellen möchte, wird es im Client-Zertifikat-Haltetank nicht angezeigt.
A: Eines von zwei Dingen ist erforderlich, bevor MOVEit Transfer dem Client erlaubt, eine SSL-Verbindung mit diesem Client-Zertifikat herzustellen. Das selbstgenerierte Client-Zertifikat muss entweder von einer Zertifizierungsstelle signiert sein, deren Zertifikat sich bereits im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate von MOVEit Transfer befindet, oder das selbstgenerierte Client-Zertifikat selbst muss in den Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate von MOVEit Transfer importiert werden. Anleitungen zum Durchführen jedes der beiden Vorgänge finden Sie auf der Seite Client-Zertifikate – Importieren und Erstellen.

F: Ich habe den CN eines Client-Zertifikats als gültige Anmeldeinformationen für einen bestimmten Benutzer akzeptiert. Dieser Benutzer erhält jedoch immer noch die Fehlermeldung „Zertifikat nicht registriert“, wenn er versucht, eine Verbindung herzustellen.
A: Die Zertifizierungsstelle des Client-Zertifikats wurde möglicherweise nicht als vertrauenswürdige Zertifizierungsstelle innerhalb der Organisation zugewiesen. Überprüfen Sie, ob die Zertifizierungsstelle des Client-Zertifikats im Haltetank für Client-Zertifikat-Zertifizierungsstellen enthalten ist.

Zusätzliche Hilfe

Weitere Hilfe finden Sie in der Wissensdatenbank auf der Support-Website von PSC/MOVEit.