SSL – Client-Zertifikate – IIS-Konfiguration

MOVEit Transfer verwendet den IIS-Server von Microsoft, um HTTPs-Verbindungsdienste bereitzustellen. Daher muss MOVEit Transfer auch IIS verwenden, um Client-Zertifikat -Funktionalität bereitzustellen.

MOVEit Transfer-Benutzer müssen Client-Zertifikate verwenden, denen vertraut wird oder die im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate gespeichert sind. In der Regel wird diese Anforderung aber von der MOVEit Transfer-Zertifikat-Verwaltungsschnittstelle im Hintergrund gehandhabt. Dieser Abschnitt behandelt die IIS-Einstellungen, die bei der Installation/Aktualisierung von MOVEit Transfer umgeschaltet werden, um Client-Zertifikat-Unterstützung (Standard) und eine zweite unterstützte Option zu aktivieren.

IIS-Konfiguration für das Akzeptieren von Client-Zertifikaten bei einigen Dateien

Die Webschnittstelle von MOVEit Transfer unterstützt Client-Zertifikat-Authentifizierung nach der Installation oder der Aktualisierung auf Version 4.0 oder höher. Es sind keine manuellen Änderungen an IIS erforderlich. Die notwendigen IIS-Einstellungen werden vom Installations-/Aktualisierungsprogramm im Hintergrund eingestellt.

Authentifizierungsanforderungs-Flags an einzelnen Benutzerkonten bestimmen, ob Client-Zertifikate erforderlich sind, und welche Client-Zertifikate für die Authentifizierung verwendet werden können. (Weitere Informationen finden Sie unter Webschnittstelle – Benutzer – Profil.)

Vorteile/Nachteile

• Vorteil: Keine zusätzliche Einrichtung oder administrative Arbeit erforderlich.
• Vorteil: Einfach zu verwenden bei der Migration von Benutzern auf eine Client-Zertifikat-Umgebung.
• Vorteil: Rückwärtskompatibel zu bestehenden Clients und Prozessen.
• Nachteil: Auditoren bevorzugen möglicherweise die Aktivierung der Option Clientzertifikate voraussetzen unter IIS.

humancc.aspx und machinecc.aspx

MOVEit Transfer setzt standardmäßig das Flag Client-Zertifikate akzeptieren auf zwei Dateien: humancc.aspx und machinecc.aspx. Das „cc“ in beiden Dateien steht für „Client Certificate“ (Client-Zertifikat).

Alle Webbrowser-Sitzungen müssen durch human.aspx authentifiziert werden, und alle anderen Clients durch machine.aspx. Wenn ein Benutzer versucht, sich durch human.aspx oder machine.aspx zu authentifizieren, und MOVEit Transfer feststellt, dass das Konto des Benutzers eine Client-Zertifikat-Authentifizierung erfordert, wird die Sitzung des Benutzers von MOVEit Transfer automatisch an humancc.aspx oder machinecc.aspx weitergeleitet. An diesem Punkt wird der Benutzer nach Client-Zertifikat-Anmeldeinformationen gefragt (bei Verwendung eines Webbrowsers) oder Client-Zertifikat-Anmeldeinformationen werden angewendet (bei Verwendung eines anderen Clients). Es wird keine „zweite Anmeldeseite“ angezeigt. Aus der Perspektive des Benutzers ist für den gesamten Anmeldevorgang nur eine einzelne Übermittlung erforderlich.

Die Einstellung „Accept client certificates“ (Client-Zertifikate akzeptieren) ist für keine anderen Dateien oder Ordner aktiviert. Der Zugriff auf MOVEit Transfer-Ressourcen ist nur möglich, nachdem ein Benutzer sich mit allen erforderlichen Client-Zertifikaten authentifiziert hat, sodass nur für die Authentifizierungs-Gateways die Einstellung Accept client certificates (Client-Zertifikate akzeptieren) aktiviert werden muss.

Siteweites Flag „Accept Client Certificates“ (Client-Zertifikate akzeptieren) (Nicht setzen!)

Setzen Sie nicht das siteweite Flag Accept client certificates (Client-Zertifikate akzeptieren) auf Ihrer MOVEit Transfer-IIS-Website. Diese Konfiguration wird nicht unterstützt und ist nicht erforderlich, um einzelnen MOVEit Transfer-Benutzern vorzuschreiben, bei der Authentifizierung Client-Zertifikate zu verwenden.

Zwei Zeichen dafür, dass möglicherweise jemand das siteweite Flag Client-Zertifikate akzeptieren auf Ihrer moveitdmz-IIS-Website umgekehrt hat, sind:

• Ihren IE-Benutzern wird ein mysteriöses leeres Dialogfeld angezeigt, wenn sie eine Verbindung zu MOVEit Transfer herstellen. Durch das leere Feld teilt IE dem Benutzer auf unübliche Weise mit, dass die soeben von ihm aufgerufene Website ein Client-Zertifikat angefordert hat (dies bewirkt das IIS-Flag Accept (Akzeptieren)), der Benutzer jedoch über keine Client-Zertifikate verfügt, die für die Website verwendet werden können.
• Alle Dateiübertragungen funktionieren nicht mehr, und alle FTP- und SSH-Anmeldungen werden zurückgewiesen.

IIS-Einstellung zum Anfordern von Client-Zertifikaten für die meisten Inhalte

Das IIS-Website-Flag auf Require client certificates (Clientzertifikate voraussetzen) ist normalerweise nicht notwendig und wird allgemein nicht empfohlen, wenn es nicht absolut erforderlich ist. Der erforderliche Arbeitsaufwand für Administratoren, Endbenutzer und Operatoren von Remote-Systemen ist hoch. Eine bessere Wahl sind die MOVEit Transfer-Client-Zertifikate auf Anwendungsebene.

Des Weiteren wird das Flag Require client certificates (Clientzertifikate voraussetzen) nur von MOVEit Transfer-Software unter Windows Server 2003 unterstützt.

Vorteile/Nachteile

• Vorteil: Auditoren bevorzugen möglicherweise die Aktivierung des Kästchens Require client certificates (Clientzertifikate voraussetzen) unter IIS.
• Vorteil: Niemand kann sich an einem Remote-Standort anmelden, ohne ein Client-Zertifikat zu verwenden. (Keine Ausnahmen.)
• Nachteil: Admin-Benutzer verlieren den Remote-Zugriff, wenn sie über kein gültiges Client-Zertifikat mehr verfügen.
• Nachteil: Zusätzliches Einrichten und administrative Arbeit erforderlich.
• Nachteil: Erschwerte Migration auf eine Client-Zertifikat-Umgebung.
• Nachteil: Nicht rückwärtskompatibel zu bestehenden Clients und Prozessen.

Zusätzliche IIS-Website nur für Localhost

Die FTP-, SSH-, ISAPI-Dienste von MOVEit Transfer sowie verwandte Dienste kommunizieren häufig mit der Kernanwendung von MOVEit Transfer über HTTP(s)-basierte XML-Transaktionen. Damit diese Kommunikation in einer Umgebung Require client certificates (Clientzertifikate voraussetzen) fortgesetzt werden kann, müssen Sie die ursprüngliche moveitdmz-IIS-Website kopieren und so einstellen, dass sie nur auf localhost-Verbindungen lauscht.

Um diese zusätzliche Website einzurichten und MOVEit Transfer für die Verwendung beim Setzen des IIS-websiteweiten Flags Require client certificates (Clientzertifikate voraussetzen) zu konfigurieren, gehen Sie wie folgt vor.

1. Öffnen Sie den IIS-Manager und exportieren Sie die moveitdmz-IIS-Website.
   • Klicken Sie mit der rechten Maustaste auf Ihre bestehende MOVEit Transfer-Website.
   • Wählen Sie All tasks (Alle Aufgaben) and dann Save configuration to file (Konfiguration in einer Datei speichern) aus.
2. Importieren Sie die von Ihnen gerade exportierte Website und klicken Sie durch die Warnung Duplicate Name (Doppelter Name). (Diese Warnung ist harmlos, Sie können die Website trotzdem importieren.)
   • Klicken Sie mit der rechten Maustaste auf die Überschrift Web Sites (Websites).
   • Wählen Sie New (Neu) und dann Web site from file (Website aus Datei) aus.
   • Navigieren Sie zu der in Schritt 1 erstellten Datei.
   • Klicken Sie auf die Schaltfläche Read file (Datei lesen), wählen Sie den Websitenamen aus und klicken Sie auf OK.
3. Benennen Sie die neue Website um. (Ein doppelter Name führt zu Problemen, wenn Sie ihn nicht ändern.)
4. Öffnen Sie die neue Website und führen Sie diese Schritte in der angegebenen Reihenfolge durch:
   • Stellen Sie für die Client-Zertifkat-Anforderungen Ignore (Ignorieren) ein.
   • Deaktivieren Sie das Kästchen 128-bit für die SSL-Anforderung, falls es aktiviert ist.
   • Deaktivieren Sie die Option Require SSL (SSL erforderlich), falls Sie aktiviert ist.
   • Entfernen Sie alle Server-Zertifikate, die mit dieser Website verknüpft sind.
   • Binden Sie die Website nur an 127.0.0.1 (keine Hostheader) und löschen Sie den SSL-Port. Geben Sie für den (Nicht-SSL)-Port den Wert 80 ein, falls kein Wert enthalten ist.
5. Öffnen Sie die ursprüngliche moveitdmz-Website und stellen Sie sicher, dass sie nicht explizit an 127.0.0.1 gebunden ist.
6. Öffnen Sie das MOVEit Transfer-Konfigurationsdienstprogramm, gehen Sie zur Registerkarte Paths (Pfade) und stellen Sie die Geräte-URL auf http://localhost/machine.aspx ein.
7. An diesem Punkt können Sie die Option Require client certificates (Clientzertifikate voraussetzen) auf der moveitdmz-Website aktivieren. Wenn Sie dazu aufgefordert werden, überschreiben Sie Einstellungen für alle Ordner und Dateien, mit Ausnahme der Einstellungen, die im Abschnitt „Ausnahmen“ weiter unten aufgeführt sind. Stellen Sie sicher, dass die Dateisicherheit für humancc.aspx und machinecc.aspx so eingestellt ist, dass sowohl SSL als auch Client-Zertifikate erforderlich sind.
8. Stellen Sie sicher, dass beide Websites gestartet werden.
9. Führen Sie Tests mit dem MOVEit Transfer-Überprüfungsdienstprogramm durch (einige Tests können übersprungen werden) und später mit Live-Client-Sitzungen, um sicherzustellen, dass alles noch funktioniert.

Ausnahmen

Obwohl die Standard-Client-Zertifikat-Eigenschaft auf Ihrer moveitdmz-IIS-Website auf Require... (...voraussetzen) gesetzt wird, muss für die folgenden Ordner immer Ignore client certificates (Client-Zertifikate ignorieren) gesetzt werden, um die Verwendung des Java Upload/Download-Assistenten zu unterstützen.

• MOVEitISAPI: Das Kontrollkästchen Ignore client certificates (Client-Zertifikate ignorieren) muss aktiviert werden, um Komplikationen mit Client-Zertifikaten bei der Verwendung des Java Upload/Download-Assistenten zu vermeiden. Diese Vorgehensweise ist sicher, da die Dateiübertragungseinrichtung den Zugriff auf Dateien nur dann erlaubt, wenn eine Sitzung zuvor authentifiziert wurde.
• Java: Das Kontrollkästchen Ignore client certificates (Client-Zertifikate ignorieren) muss aktiviert werden, um Komplikationen mit Client-Zertifikaten bei der Verwendung des Java Upload/Download-Assistenten zu vermeiden. Dieser Ordner ist das Home-Verzeichnis des Java Upload/Download-Assistenten-Applets, das heruntergeladen und von Webbrowsern ausgeführt wird. Diese Vorgehensweise ist sicher, da der Inhalt dieses Ordners über jeden anderen MOVEit Transfer-Server öffentlich verfügbar ist.
• Bilder: Das Kontrollkästchen Ignore client certificates (Client-Zertifikate ignorieren) muss aktiviert werden, um Komplikationen mit Client-Zertifikaten bei der Verwendung des Java Upload/Download-Assistenten zu vermeiden. Dieser Ordner ist das Home-Verzeichnis der Bilder, die im Java Upload/Download-Assistenten-Applet verwendet werden. Diese Vorgehensweise ist sicher, da der Inhalt dieses Ordners über jeden anderen MOVEit Transfer-Server oder für jede Person öffentlich verfügbar ist, die über Zugriff auf die (öffentliche) MOVEit Transfer-Anmeldeseite verfügt.

Durch die Ausführung der MOVEit Transfer-Installations- und Aktualisierungsprogramme wird Ignore client certificates (Client-Zertifikate ignorieren) auf diesen Ordnern automatisch zurückgesetzt. (Durch Installationsaktionen zur Reparatur werden diese Parameter jedoch nicht zurückgesetzt.)

Von „Require...“ (...voraussetzen) zurück zu „Accept...“ (...akzeptieren)

Um von Require... (...voraussetzen) zu „Accept...“ (...akzeptieren) zurückzukehren, besteht die einfachste Vorgehensweise darin, die Client-Zertifikat-Anforderung auf IIS-Websiteebene von Require... (...voraussetzen) auf Ignore... (...ignorieren) einzustellen und dann eine MOVEit Transfer-Aktualisierung (nicht lediglich eine „Reparatur“) zu erzwingen, um die entsprechenden Eigenschaften für andere Elemente in der IIS-Website zurückzusetzen. Im MOVEit-Kundenportal finden Sie Tipps zum Upgrade von MOVEit Transfer.

Andernfalls stellen Sie die Client-Zertifikat-Anforderung auf IIS-Websiteebene von Require... (...voraussetzen) auf Ignore... (...ignorieren) ein. (während Sie das Überschreiben aller Unterordner auswählen) und setzen dann das Flag Accept client certificates (Client-Zertifikate akzeptieren) auf den Dateien humancc_aspx und machinecc_aspx, wie hier dargestellt:

Nach der Durchführung einer der beiden Prozeduren empfiehlt es sich außerdem, die zusätzliche localhost-IIS-Website zu löschen, was das Setzen des websiteweiten Flags Require... (...voraussetzen) erfordert. Sie müssen möglicherweise auch die Machine URL (Geräte-URL) auf der Registerkarte Paths (Pfade) des MOVEit Transfer-Konfigurationsdienstprogramms ändern, falls Ihre moveitdmz-Website an eine bestimmte IP-Adresse gebunden ist.