Sie können Probleme mit den Client-Zertifikaten am besten lösen, indem Sie zunächst herausfinden, wie viel der Client tun konnte, bevor das Problem auftritt. Machen Sie sich außerdem unbedingt mit den Anforderungen für Zertifizierungsstellen und Berechtigungen vertraut, die alle Clients für die erfolgreiche Verbindung und Authentifizierung mit einem Client-Zertifikat erfüllen müssen.

Verbindungsprobleme in Zusammenhang mit Client-Zertifikaten basieren in der Regel auf einem von drei Problemen: Fehler beim Herstellen einer TCP-Verbindung, Fehler beim Herstellen einer SSL-Sitzung und Fehler bei der Authentifizierung. Prüfen Sie diese Faktoren bei der Problembehandlung von Client-Zertifikatsproblemen in der angegebenen Reihenfolge. Für FTP-Verbindungen wird die TCP-Verbindung im regulären Handbuch zur Problembehandlung bei FTP/SSL behandelt, die anderen beiden Probleme werden hier behandelt.

  • Problem: Nicht verbunden
    • Stellen Sie sicher, dass es sich nicht um Firewall- und sonstige grundlegende Verbindungsprobleme handelt
    • Ist der Client für die Verwendung eines Client-Zertifikats konfiguriert?
    • Akzeptiert der Client das MOVEit Transfer-Server-Zertifikat?
    • Ist die Zertifizierungsstelle des Client-Zertifikats im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate von MOVEit Transfer installiert? (Falls nicht, ist das Client-Zertifikat selbst hier installiert?)
  • Problem: Authentifizierung nicht möglich
    • Wenn keine Verbindung hergestellt werden kann, brauchen Sie sich um Authentifizierungsprobleme noch nicht zu kümmern.
    • Überprüfen Sie das Benutzerprofil.
    • Ist ein Client-Zertifikat erforderlich? (Falls nicht, handelt es sich um ein Kennwortproblem.)
    • Falls ein Kennwort erforderlich ist, wenn ein Client-Zertifikat angefordert wird, wurde vom Client eines bereitgestellt?
    • Wenn die organisationsweite Option zum Abgleichen von CN-Namen von Zertifikaten mit Benutzernamen/Echtnamen aktiviert ist und der CN-Name des Client-Zertifikats mit dem Benutzernamen/Echtnamen des Benutzers übereinstimmt, ist die Zertifizierungsstelle des Client-Zertifikats in der organisationsweiten Liste der vertrauenswürdigen Zertifizierungsstellen enthalten?
    • Sind andernfalls Einträge im Haltetank für Client-Zertifikate des Benutzers enthalten? (Falls ja, akzeptieren Sie den entsprechenden Eintrag.)
    • Ist der CN-Name des Client-Zertifikats als akzeptiertes Zertifikat im Benutzerprofil aufgelistet? Falls ja, stellen Sie sicher, dass die Zertifizierungsstelle des Client-Zertifikats in der organisationsweiten Liste der vertrauenswürdigen Zertifizierungsstellen enthalten ist.)
    • Erstellen Sie einen Benutzerbericht für den Benutzer. Überprüfen Sie die Protokolleinträge auf weitere Hinweise.

Häufig gestellte Fragen

F: Ich habe in meinem Benutzerprofil aktiviert, dass Zertifikate erforderlich sind, aber MOVEit Transfer ignoriert das Client-Zertifikat.A: Sie müssen auch die Ports-Option Client Cert (Client-Zertifikat) auf der Registerkarte FTP Ports des MOVEit Transfer Konfigurations-Dienstprogramms konfigurieren. Ihr FTP-Client muss außerdem eine Verbindung zu einem der beiden Client-Zertifikat-Ports anstatt zu einem der beiden Nichtzertifikat-Ports herstellen, bevor die Client-Zertifikat-Authentifizierung erfolgreich ist.

F: Welches ist die beste Möglichkeit, meine Benutzer auf Client-Zertifikate zu migrieren?A: Aktivieren Sie die Ports-Option Client Cert (Client-Zertifikat) auf der Registerkarte FTP Ports des MOVEit Transfer- Konfigurations-Dienstprogramms (und öffnen Sie die entsprechenden Firewall-Ports). Weisen Sie jeden Ihrer Clients bei der Migration auf FTP-Client-Zertifikat-Authentifizierung an, die Verbindungsparameter von einem Nichtzertifikat-Port auf einen Client-Zertifikat-Port umzustellen.

F: Ich habe ein Client-Zertifikat generiert, aber wenn ich eine Verbindung herstellen möchte, wird es im Client-Zertifikat-Haltetank nicht angezeigt.A: Eines von zwei Dingen ist erforderlich, bevor MOVEit Transfer dem Client erlaubt, eine TLS-(SSL-)Verbindung mit diesem Client-Zertifikat herzustellen. Das selbstgenerierte Client-Zertifikat muss entweder von einer Zertifizierungsstelle signiert sein, deren Zertifikat sich bereits im Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate von MOVEit Transfer befindet, oder das selbstgenerierte Client-Zertifikat selbst muss in den Microsoft-Zertifikatspeicher für vertrauenswürdige Stammzertifikate von MOVEit Transfer importiert werden. Anleitungen zum Durchführen jedes der beiden Vorgänge finden Sie auf der Seite Client-Zertifikate – Importieren und Erstellen.

F: Ich habe den CN eines Client-Zertifikats als gültige Anmeldeinformationen für einen bestimmten Benutzer akzeptiert. Dieser Benutzer erhält jedoch immer noch die Fehlermeldung „Zertifikat nicht registriert“, wenn er versucht, eine Verbindung herzustellen.A: Die Zertifizierungsstelle des Client-Zertifikats wurde möglicherweise nicht als vertrauenswürdige Zertifizierungsstelle innerhalb der Organisation zugewiesen. Überprüfen Sie, ob die Zertifizierungsstelle des Client-Zertifikats im Haltetank für Client-Zertifikat-Zertifizierungsstellen enthalten ist.

Zusätzliche Hilfe

Weitere Hilfe finden Sie in der Wissensdatenbank auf der Support-Website von PSC/MOVEit.