|
|
|
|
|
Die Einrichtung einer durch SSL gesicherten Verbindung zwischen einem Client und einem Server beginnt mit einem Serverzertifikat, das sowohl zur Identifizierung des Servers als auch zur sicheren Aushandlung eines gemeinsamen Verschlüsselungsschlüssels benötigt wird, der während der gesamten verschlüsselten Sitzung verwendet wird. Für Server, auf denen TLS/SSL aktiviert wurde, wird ein Serverzertifikat benötigt. Da MOVEit Transfer sowohl zur Sicherung seiner webbasierten Schnittstelle (HTTPS) als auch zur Sicherung seiner FTP-Schnittstelle (FTP/SSL) SSL verwendet, sind für beide Schnittstellen Serverzertifikate erforderlich. In der Regel wird für beide Schnittstellen das gleiche Serverzertifikat verwendet.
HTTPS- und FTP/SSL-Clients wissen, welchen Computern sie vertrauen können, da die von den Remoteservern bereitgestellten Zertifikate für einen bestimmten Zeitraum gültig sind, mit dem Hostnamen des Servers übereinstimmen, mit dem der Benutzer verbunden ist, und durch eine Kette vertrauenswürdiger Zertifizierungsstellen (CAs) wie Thawte oder Verisign signiert wurden. (Ohne diesen Schutz könnte ein durch SSL gesicherter Server von jeder x-beliebigen Person mittels eines selbstgenerierten Serverzertifikats ausspioniert werden!) Für sichere und reibungslose Abläufe wird daher in Produktionsumgebungen die Verwendung eines von einer namhaften Zertifizierungsstelle signierten Zertifikats dringend empfohlen. In Evaluierungs-, Entwicklungs- und Testumgebungen werden aus Kostengründen häufig aber auch selbstsignierte Testzertifikate verwendet. In diesen Fällen erhalten die Benutzer jedoch häufig Clientwarnungen zu Unstimmigkeiten mit den Zertifikaten.
Auf Windows Server-Plattformen erfolgen Serverzertifikatanforderungen und -installationen in der Regel über den Internetdienste-Manager von IIS und seinen webserver-basierten Zertifikatserver. Anweisungen zur Anforderung eines signierten Serverzertifikats finden Sie auf der Seite Zertifikatsignierungsanforderungen der Dokumentation.
Das erhaltene Zertifikat muss sowohl in IIS als auch auf dem FTP-Server von MOVEit Transfer installiert werden, damit es von MOVEit Transfer verwendet werden kann. Anweisungen zur Installation eines Serverzertifikats in IIS und auf dem MOVEit Transfer-FTP-Server finden Sie auf der Seite Zuweisen von Komponenten der Dokumentation.
Sobald das Zertifikat installiert und einsatzbereit ist, sollten Sie es für den Fall eines schwerwiegenden Systemfehlers sichern. Hierzu können Sie die Dienstprogramme für die Sicherung und Wiederherstellung von MOVEit Transfer (dmzbackup und dmzrestore) verwenden, mit denen Sie sowohl Client- als auch Serverzertifikatinformationen von einem MOVEit Transfer-Server sichern können. Weitere Anweisungen zur manuellen Sicherung von Zertifikaten finden Sie im Abschnitt Sichern von Serverzertifikaten.
Dieser Mechanismus wird durch folgendes Beispiel einer MOVEit Freely-Sitzung veranschaulicht. Während der SSL-Verhandlung stellt MOVEit Freely fest, dass das Remotezertifikat (für „dotnet“) nicht mit dem Namen des Hosts übereinstimmt, mit dem der Client eine Verbindung herstellen sollte (192.168.3.15). Der Endbenutzer erhält folglich eine Warnung.
Wenn der Endbenutzer nun den Aufbau der SSL-Verbindung mit diesem Server abbricht, zeigt MOVEit Freely eine kurze Begründung für die Ablehnung der SSL-Verbindung an.
