SSL – Serverzertifikate – Sichern

Zum Sichern eines Zertifikats (oder auch zum Verschieben eines Zertifikats auf eine andere Plattform) können Sie die Dienstprogramme für die Sicherung und Wiederherstellung von MOVEit Transfer (dmzbackup und dmzrestore) verwenden. Mit diesen Dienstprogrammen können Sie sowohl die SSL-Server- als auch die SSL-Clientzertifikate auf dem System sichern und wiederherstellen.

Möchten Sie Zertifikate lieber manuell exportieren und importieren, beachten Sie folgende Hinweise:

Wenn Sie ein Zertifikat mit dem Zertifikatassistenten von Microsoft von einem Computer exportieren und auf einem anderen Computer wieder importieren, sollten Sie Folgendes berücksichtigen:

• Microsoft versucht Schlüssel standardmäßig ohne ihre privaten Schlüssel zu exportieren. Vergewissern Sie sich daher im Zertifikatexport-Assistenten von Windows, dass die Option Nein, privaten Schlüssel nicht exportieren deaktiviert ist.
• Auch wenn Microsoft den Import von Serverzertifikaten ohne ihre privaten Schlüssel zulässt, empfiehlt es sich, die privaten Schlüssel mit zu exportieren. Diese Funktion ist für die Definition einiger externer Zertifikate zwar unverzichtbar, die stillschweigende Akzeptanz dieser Zertifikate lässt Administratoren jedoch oft in dem Glauben, dass sie ein Serverzertifikat erfolgreich exportiert und importiert haben, obwohl der private Schlüssel fehlt.

Indiz für den korrekten Export und Import eines Zertifikats: Wenn Sie beim Import eines Zertifikats nach dem Kennwort gefragt werden, haben Sie den Export ziemlich sicher korrekt ausgeführt. Das Kennwort wird zum Entsperren des privaten Schlüssels aus der Exportdatei benötigt.

Häufige Szenarien für den Export von Server-Zertifikaten:

• Sie benötigen eine Sicherungskopie des Zertifikats, damit Sie den Server in einem Notfall schnell wiederherstellen können.
• Sie wollen einen sicheren Server auf eine andere Plattform verschieben.
• Um Kosten zu sparen, möchten Sie für Ihre Entwicklungs- bzw. Testumgebung kein eigenes Zertifikat kaufen, sondern ein Zertifikat aus Ihrer Produktionsumgebung verwenden.
• Sie möchten einem Client den öffentlichen Teil Ihres Zertifikats für die Installation bereitstellen, damit dieser eine Verbindung mit Ihrem Server herstellen kann. In diesem Fall muss der private Schlüssel tatsächlich NICHT exportiert werden.

Manuelle Verfahren zum Import und Export von SSL-Zertifikaten werden im Abschnitt SSL – Serverzertifikate – Importieren und Exportieren behandelt.

• Typische Fehler
• Exportieren des SSL-Serverzertifikats von MOVEit Transfer ohne privaten Schlüssel

Fehler, die auf einen nicht korrekten Export oder Import eines Serverzertifikats verweisen

Die folgenden Fehler in den Protokollen eines sicheren FTP- oder Webservers oder in der Clientanzeige sind ein Hinweis darauf, dass ein Serverzertifikat (mit seinem privaten Schlüssel) nicht korrekt exportiert oder importiert wurde:

• In das Protokoll Ihres MOVEit Transfer-FTP-Servers wird der Zertifikatfehler „Not Loaded“ (Nicht geladen) ausgegeben.
• Eine lokal installierte Kopie von MOVEit Freely meldet bei der Verbindung mit einem gültigen FTP-Port auf „localhost“ einen Handshake-Fehler.
• Https://-Verbindungen mit Ihrem Webserver werden in den IIS-Webprotokollen nicht aufgezeichnet.
• Wenn Sie Internet Explorer auf dem gleichen System wie Ihren Webserver ausführen, erhalten Sie beim Versuch, eine Verbindung mit Ihrer Website über eine https://-URL (z. B. https://localhost/help.htm) herzustellen, die Antwort „Site not available“ (Site nicht verfügbar).

Exportieren des SSL-Serverzertifikats von MOVEit Transfer ohne privaten Schlüssel
(für den Import auf verschiedenen FTP-Clients)

Auf einigen FTPS (FTP/SSL)-Clients müssen das SSL-Zertifikat von MOVEit Transfer und möglicherweise auch das CA-Stammzertifikat und die CA-Zwischenzertifikate des Zertifizierungspfads importiert werden, damit diese Clients eine FTPS-Verbindung mit MOVEit Transfer herstellen können. Da IIS (https) und MOVEit Transfer FTP (ftps) das gleiche SSL-Zertifikat verwenden, können Sie diese Zertifikate mit Internet Explorer exportieren.

• So exportieren Sie das SSL-Zertifikat des MOVEit Transfer-Hosts:
  1. Stellen Sie über Internet Explorer eine Verbindung mit MOVEit Transfer (z. B. https://moveit.stdnet.com) her.
  2. Doppelklicken Sie auf das Schlosssymbol in der Statusleiste.
  3. Klicken Sie auf die Registerkarte Details.
  4. Klicken Sie auf Copy to File (In Datei kopieren), um den Zertifikatexport-Assistenten zu starten.
  5. Befolgen Sie die Anweisungen des Assistenten, um das Zertifikat im gewünschten Format zu exportieren. Wenn Sie sich nicht sicher sind, welches Format Sie verwenden sollen, wählen Sie Base-64.

• So exportieren Sie das CA-Stammzertifikat sowie alle CA-Zwischenzertifikate des Zertifizierungspfads:
  1. Stellen Sie über Internet Explorer eine Verbindung mit MOVEit Transfer (z. B. https://moveit.stdnet.com) her.
  2. Doppelklicken Sie auf das Schlosssymbol in der Statusleiste.
  3. Klicken Sie auf die Registerkarte Certification Path (Zertifizierungspfad).
  4. Klicken Sie zur Auswahl auf das Zertifikat, das Sie exportieren möchten.
  5. Klicken Sie auf View Certificate (Zertifikat anzeigen). Ein Dialogfeld wird geöffnet.
  6. Klicken Sie auf die Registerkarte Details.
  7. Klicken Sie auf Copy to File (In Datei kopieren), um den Zertifikatexport-Assistenten zu starten.
  8. Befolgen Sie die Anweisungen des Assistenten, um das Zertifikat im gewünschten Format zu exportieren.