Genauso wie sich der Server beim Client mittels eines SSL-Serverzertifikats identifizieren kann, kann sich der Client beim Server mittels eines SSL-Zertifikats ausweisen. Vom Client verwendete SSL-Zertifikate werden als Clientzertifikate bezeichnet. Die meisten SSL-Server fordern von ihren Clients noch keine eigenen Zertifikate, jedoch geht der Trend eindeutig in diese Richtung, da Clientzertifikate ein zusätzlicher Authentifizierungsfaktor sind. MOVEit Transfer unterstützt sowohl die Akzeptanz als auch die Anforderung von Clientzertifikaten auf seiner FTP/SSL- und seiner HTTPS-Schnittstelle.
Wie bei jedem Clientschlüssel-/Zertifikatschema ist mit der höheren Sicherheit durch kryptografisch hochwertige Clientzertifikate immer auch ein administrativer Mehraufwand verbunden. In der Regel ist auf dem SSL-Server festgelegt, ob er Clientzertifikate verlangt oder nicht (wobei IIS Clientzertifikate akzeptiert, wenn sie vorgelegt werden, aber auch Verbindungen ohne diese Zertifikate zulässt), und der Server muss dem Clientzertifikat vertrauen, damit der Verbindungsaufbau fortgesetzt werden kann. Damit einem Clientzertifikat vertraut werden kann, muss das Zertifikat entweder selbst vertrauenswürdig sein oder es muss von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert worden sein.
Kriterien für die Verbindung/Authentifizierung mit einem Clientzertifikat
Wenn Sie ein Clientzertifikat für die Authentifizierung eines bestimmten Benutzers mit der FTP/SSL- oder der HTTPS-Schnittstelle verwenden möchten, müssen mindestens eine der folgenden Bedingungen für Zertifizierungsstellen sowie eine der folgenden Bedingungen für Berechtigungsnachweise zutreffen. Clientzertifikate müssen eine der Bedingungen für Zertifizierungsstellen erfüllen, damit sie eine Verbindung mit MOVEit Transfer herstellen können, sowie eine der Bedingungen für Berechtigungsnachweise, um sich bei MOVEit Transfer authentifizieren zu können.
Bedingungen für Zertifizierungsstellen
Das Clientzertifikat selbst muss im Microsoft Trusted Root Certificate Store installiert sein.
Das Clientzertifikat muss durch ein CA-Zertifikat signiert worden sein, dem vertraut wird, weil im Microsoft Trusted Root Certificate Store entweder das CA-Zertifikat selbst oder eine Zertifizierungsstelle innerhalb der Zertifizierungskette installiert ist.
Bedingungen für Berechtigungsnachweise
Der Daumenabdruck des Clientzertifikats muss dem Profil des Benutzers zugewiesen sein.
Der gemeinsame Name (CN) des Clientzertifikats muss dem Profil des Benutzers zugewiesen sein UND die Zertifizierungsstelle des Clientzertifikats muss sich auf Organisationsebene in der Liste der zugelassenen Zertifizierungsstellen befinden.
Der gemeinsame Name (CN) des Clientzertifikats muss mit dem Benutzernamen oder dem vollständigen Namen des Benutzers übereinstimmen, auf Organisationsebene muss die Option Match Cert CN to Username/Full Name (Zertifikat-CN mit Benutzernamen/vollständigen Namen abgleichen) aktiviert sein UND die Zertifizierungsstelle des Clientzertifikats muss sich auf Organisationsebene in der Liste der zugelassenen Zertifizierungsstellen befinden.
Beispiel für die Verbindung/Authentifizierung mit einem Clientzertifikat – festes Zertifikat, flexible Kriterien
Zur Veranschaulichung des Ineinandergreifens dieser Bedingungen verwenden wir ein Beispiel-Clientzertifikat mit den folgenden Merkmalen.
Signiert durch CA-Zertifikat mit CN = "Chug and Ring"
CA-Zertifikat signiert durch ein anderes CA-Zertifikat mit CN = "Toot"
Zur Verbindung und Authentifizierung eines bestimmten Benutzers mit diesem Zertifikat müssen eine der folgenden Bedingungen für Zertifizierungsstellen und eine der folgenden Bedingungen für Berechtigungsnachweise zutreffen.
Für den Aufbau einer SSL-Verbindung muss eine der folgenden Bedingungen für Zertifizierungsstellen erfüllt sein:
Das Zertifikat „Frank“ wurde im Microsoft Trusted Root Certificate Store installiert.
Das CA-Zertifikat „Chug and Ring“ wurde im Microsoft Trusted Root Certificate Store installiert.
Das CA-Zertifikat „Toot“ wurde im Microsoft Trusted Root Certificate Store installiert.
Zur Verwendung des Clientzertifikats als gültigen Berechtigungsnachweis für einen bestimmten Benutzer muss eine der folgenden Bedingungen für Berechtigungsnachweise erfüllt sein:
Dem Profil des betreffenden Benutzers ist der Daumenabdruck „3D17 CFF3 E27B 127D 2753 A7F1 873E 2743 783B FBD2“ zugewiesen.
Dem Profil des betreffenden Benutzers ist der gemeinsame Name (CN) „Frank“ zugewiesen UND „Chug and Ring“ ist in der Liste der zugelassenen Zertifizierungsstellen auf Organisationsebene enthalten.
Der Benutzername oder vollständige Name des betreffenden Benutzers lautet „Frank“, auf Organisationsebene ist die Option Match Cert CN to Username/Full Name (Zertifikat-CN mit Benutzernamen/vollständigen Namen abgleichen) aktiviert UND „Chug and Ring“ ist in der Liste der zugelassenen Zertifizierungsstellen auf Organisationsebene enthalten.
Beispiel für die Verbindung/Authentifizierung mit einem Clientzertifikat – flexibles Zertifikat, feste Kriterien
Die Authentifizierungskriterien im nachfolgenden Beispiel sind fest, wobei für die Authentifizierung verschiedene Clientzertifikate verwendet werden können.
MOVEit Transfer-Server: Abgebildet sind hier die drei vorrangigen Speicher für Zertifizierungsinformationen sowie eine wichtige Einstellung.
Profil (akzeptierte Zertifikate) von Benutzer „Rich“: Hier sind verschiedene Daumenabdrucke wie auch der alternative CN „Dick“ aufgeführt. („Rich“ ist ebenso als CN erlaubt, weil die Option Match CN to Username/Fullname (Zertifikat-CN mit Benutzernamen/vollständigen Namen abgleichen) aktiviert ist.)
Vertrauenswürdige Zertifizierungsstellen: Zertifikate, die einen CN für die Authentifizierung bereitstellen, müssen von einer dieser Zertifizierungsstellen signiert worden sein. Hinweis: Die Zertifizierungsstelle „Verisign“ wird zwar als vertrauenswürdig geführt, Zertifikate, die von dieser Zertifizierungsstelle signiert wurden, können aber dennoch keine Verbindung herstellen, da diese Zertifizierungsstelle nicht im Microsoft Trusted Root Certificate Store installiert ist.
Microsoft Trusted Root Certificate Store: Dies ist der einzige Ort, an dem Clientzertifikatinformationen tatsächlich installiert und nicht nur referenziert werden. Alle Clientzertifikate müssen von einer in diesem Speicher installierten Zertifizierungsstelle signiert worden sein (oder sich selbst in diesem Speicher befinden), damit eine FTP/SSL-Verbindung zustande kommen kann.
Match CN to Username/Fullname (Zertifikat-CN mit Benutzernamen/vollständigen Namen abgleichen): Siehe die vorangegangene Beschreibung zum Benutzerprofil.
Zertifizierungsstellen von Drittanbietern: Eine Auswahl von Zertifizierungsstellen von Drittanbietern sowie einige Zertifikatanbieter, deren Signaturzertifikate von einer Zertifizierungsstelle auf Stammebene signiert wurden.
Bei dieser Konfiguration können sich die verschiedensten Clientzertifikate je nach CN, Daumenabdruck und Zertifizierungsstelle mit unterschiedlichem Erfolg verbinden und authentifizieren. (Unter selbstsignierten Zertifikaten befindet sich anstelle des Namens ihrer Zertifizierungsstelle ein schwarzer Balken. Bei den meisten anderen Zertifikaten ist die Zertifizierungsstelle angegeben.)
Clientzertifikate, mit denen keine Verbindung möglich ist: Diese Clientzertifikate sind mit keinem im Microsoft Trusted Root Certificate Store von MOVEit Transfer gespeicherten Zertifikat verkettet.
Clientzertifikate, mit denen zwar eine Verbindung, aber keine Authentifizierung möglich ist: Alle diese Clientzertifikate sind mit einem im Microsoft Trusted Root Certificate Store von MOVEit Transfer gespeicherten Zertifikat verkettet. Jedoch sind diese Zertifikate aus den folgenden Gründen nicht korrekt für die Authentifizierung registriert:
Der CN des Zertifikats stimmt zwar überein, jedoch ist die Zertifizierungsstelle nicht vertrauenswürdig.
Der Daumenabdruck des Zertifikats stimmt mit keinem Daumenabdruck im Benutzerprofil überein.
Clientzertifikate, mit denen sowohl eine Verbindung als auch eine Authentifizierung möglich ist: Alle diese Clientzertifikate sind mit einem im Microsoft Trusted Root Certificate Store von MOVEit Transfer gespeicherten Zertifikat verkettet. Aus den folgenden Gründen ist mit diesen Zertifikaten außerdem eine fehlerfreie Authentifizierung möglich:
Der CN des Zertifikats stimmt überein und das Zertifikat wurde von einer vertrauenswürdigen Zertifizierungsstelle signiert.
Der Daumenabdruck des Zertifikats stimmt mit einem Daumenabdruck im Benutzerprofil überein.
Verwaltung von Clientzertifikaten
Die stärkere Sicherheit von Clientzertifikaten führt leider auch zu einem höheren administrativen Aufwand. In MOVEit Transfer verwalten Sie Benutzer mit Clientzertifikaten auf der Seite „Edit SSL Client Certificates“ (SSL-Clientzertifikate bearbeiten), die aus dem Benutzerprofil geöffnet wird.
So verwalten Sie Benutzer mit Clientzertifikaten:
Wählen Sie USERS > Benutzername (Benutzer) aus. Die Seite User Profile (<Benutzername>) (Benutzerprofil) wird geöffnet. Gehen Sie zum Bereich User Authentication (Benutzerauthentifizierung).
Klicken Sie unter Credentials Required for Access (Für Zugriff erforderliche Berechtigungsnachweise) auf den Link HTTP Policy (HTTP-Richtlinie) oder FTP Policy (FTP-Richtlinie). Die Seite „Edit HTTP Policy“ (HTTP-Richtlinie bearbeiten) bzw. „Edit FTP Policy“ (FTP-Richtlinie bearbeiten) wird geöffnet.
Klicken Sie am Ende der Seite auf Edit SSL Client Certificates (SSL-Clientzertifikate bearbeiten). Die Verwaltungsseite für die Clientzertifikate des Benutzers wird geöffnet.
Hier können Sie im Bereich Current SSL Client Certificates (Aktuelle SSL-Clientzertifikate) folgende Aufgaben ausführen:
Vorhandene Zertifikate entfernen (klicken Sie hierzu auf das Symbol X)
Trusted CAs (Vertrauenswürdige Zertifizierungsstellen): Zeigt die Liste der vertrauenswürdigen und organisatorischen Zertifizierungsstellen an, mit denen über die Webschnittstelle erstellte Clientzertifikate signiert werden können.
Im Bereich Holding Tank (Ausstehende Bestätigungen) können Sie ausstehende Zertifikateinträge bestätigen oder entfernen.
