Verwenden Sie zur Konfiguration des SFTP-Servers die Registerkarten SFTP und SFTP Ciphers (SSH-Verschlüsselungen) im Konfigurationsprogramm für MOVEit Transfer.

So öffnen Sie das MOVEit Transfer Configuration Utility (Konfigurationsdienstprogramm) und führen es aus:

  1. Wählen Sie unter Windows das Startmenü aus.
  2. Klicken Sie auf die Verknüpfung für MOVEit Transfer Config.

Anmerkung: Benutzer, Gruppen und Ordnereinstellungen werden über die Web-UI oder MOVEit Transfer API verwaltet.

Aktualisierungsintervall der SFTP-Serverkonfiguration

Der SFTP-Server von MOVEit Transfer übernimmt Konfigurationsänderungen sofort. Die Änderungen werden übernommen, wenn das nächste Mal eine neue Verbindung hergestellt wird.

Ausnahme: Wenn der SFTP-Port geändert wird, muss der SFTP-Dienst von MOVEit Transfer neu gestartet werden, damit diese Änderung wirksam wird.

Registerkarte „SFTP“

Auf der Registerkarte „SFTP“ im Konfigurationsdienstprogramm von MOVEit Transfer können Sie den SFTP-Server anzeigen und konfigurieren, der auf dem aktuellen MOVEit Transfer-Serverhost ausgeführt wird.

Anmerkung: MOVEit Transfer verwendet SFTP-Schlüssel und Steuerelemente sowohl für SFTP als auch für SFTP (SFTP File Transfer Protocol).

Mit den Steuerelementen in diesem Bereich können Sie Folgendes ausführen:

  • Den logischen Port anpassen, über den der SFTP-Listener läuft.
  • SFTP-Server-Hostschlüssel erzeugen.
  • Einen SFTP-Listener an eine bestimmte IP-Adresse binden.
  • Schlüssel binden, die mit Algorithmen mit erweiterter Sicherheit (z. B. elliptische Kurve) erzeugt wurden.
  • Die von MOVEit SFTP verwendeten Schlüssel verwalten, pflegen und aktualisieren.

Mehrere Arten von SFTP-Server-Host-Schlüsseln

Mit MOVEit Transfer können Sie für jede SFTP-Bindung (einschließlich der Standardbindung) einen oder mehrere Hostschlüssel konfigurieren. Damit können SFTP-Clients bequem Verbindungen mit MOVEit Transfer herstellen, insbesondere wenn Richtlinien sie dazu zwingen, einen bestimmten Schlüssel oder eine bestimmte Schlüsselart zu verwenden.

Sie können die Optionen für die Konfiguration von SFTP-Bindungen auf der Registerkarte SFTP im Konfigurationsdienstprogramm von MOVEit Transfer einrichten.
Anmerkung: Auf der Registerkarte SFTP und im Bereich Bindungen können Sie zusätzliche Hostschlüssel erstellen und sie dann einer der Bindungen (einschließlich der Standardbindung) zuweisen.

Mit dem Feld Bindungen können Sie SFTP auch so binden, dass es verschiedene IP-Adressen abhört.

Registerkarte „SFTP“ und der Bereich „Bindings“ (Bindungen)

Bereich „SFTP Configuration“ (SFTP-Konfiguration)

SFTP Port (SFTP-Port):

Dies ist der TCP/IP-Port, an dem der SFTP-Server auf eingehende Verbindungsanforderungen wartet.
SFTP-Port-Wert 22 (Standard/für das SFTP-Protokoll bekannt).

Server Keys (Serverschlüssel)

Die Ansicht Server Keys (Serverschlüssel) auf der Registerkarte SFTP zeigt Folgendes an:

  • Name. Lesbarer Name.
  • Key Type (Schlüsselart). Der Algorithmus, der zur Erzeugung des Schlüsselpaares verwendet wird.
  • Fingerprint (Fingerabdruck). Der MD5-Hash des Serverschlüssels.

Anmerkung: Sie können diese Schlüssel mit dem Bereich Bindungen an eine bestimmte IP-Adresse (SFTP-Server-Endpunkt) binden. Dies kann z. B. für Bereitstellungen mehrerer Organisationen nützlich sein.

Mit den Steuerelementen für die Serverschlüssel (Schlüssel hinzufügen, bearbeiten, entfernen, Standard) können Sie:

  • Neue Schlüssel generieren, die Sie einem SFTP-Listener zuweisen können. (Schlüssel hinzufügen)
  • Benutzerfreundlichen Namen bearbeiten, anzeigen, Schlüsselpaar kopieren, Schlüssel entfernen. (Bearbeiten)
  • Einen Schlüssel entfernen und Verbindungen von Clients verhindern, die diesen Schlüssel verwenden. (Entfernen)
  • Eine Taste als Standard festlegen. (Standard)

Hinweis für Systeme mit mehreren Organisationen

Anmerkung: Wenn Ihre MOVEit Transfer-Konfiguration über mehrere Organisationen verfügt, sollten Sie für jede Organisation einen anderen Schlüssel hinzufügen. Dadurch ist es einfacher, den Serverschlüssel von nur einer Organisation zu ändern, ohne die anderen Organisationen zu beeinflussen.
SFTP-Serverschlüssel anzeigen und verstehen

SFTP-Clients verwenden diesen Schlüssel, um Datenverkehr zu verschlüsseln, den nur ein SFTP-Server entschlüsseln kann, der über den privaten Schlüssel verfügt (der als Teil des Paars aus öffentlichem und privatem Schlüssel erzeugt wurde).
Der Schlüssel wird intern erzeugt und das MD5-Hash des Schlüssels wird hier als Referenz angezeigt. Dieser Wert kann nicht bearbeitet werden. Verwenden Sie die Schaltfläche View (Anzeigen) neben dem MD5-Feld zur Anzeige und/oder zum Export des vollständigen öffentlichen SFTP-Schlüssels.

Exportieren des öffentlichen Schlüssels

So exportieren Sie den öffentlichen SFTP-Schlüssel von MOVEit Transfer:
  1. Klicken Sie auf der Registerkarte SFTP des Konfigurationsdienstprogramms von MOVEit Transfer auf die Schaltfläche Edit (Bearbeiten). Im Dialogfeld wird der Schlüssel in zwei verschiedenen Formaten angezeigt.
  2. Wählen Sie den gesamten Text in dem Fenster aus, in dem das gewünschte Format, das Sie exportieren möchten, angezeigt wird, drücken Sie STRG+C, um den Text zu kopieren, und speichern Sie ihn dann in einer Textdatei.

Tipp: Solange Sie diese nicht ändern, ändert sich der SFTP-Serverschlüssel von MOVEit DMZ für einen bestimmten Typ/eine bestimmte Bindung nicht. Es kann hilfreich sein, beide öffentlichen Formate desselben SFTP-Serverschlüssels zu exportieren, während Sie sich in diesem Dialog befinden. Wenn Sie diese abspeichern (z. B. auf einem internen Server), können Sie Zeit sparen und müssen später nicht auf der Registerkarte SFTP nachschlagen.

So fügen Sie einen neuen Serverschlüssel hinzu:

  1. Klicken Sie auf Add (Hinzufügen) und wählen Sie anschließend den gewünschten Schlüsseltyp und die Größe aus. Der Schlüsseltyp bezieht sich auf den Algorithmus. Die verschiedenen Algorithmen haben unterschiedliche Vorteile und Kompromisse. Mit Größe ist in etwa der Funktionsumfang oder die Schwierigkeit des Algorithmus gemeint. (Bessere Algorithmen mit größeren berechneten Größen bedeuten mehr Sicherheit für das Schlüsselpaar)

    • Der Schlüsseltyp DSS stellt digitale Signaturen, aber keinen Schlüsselaustausch und keine Verschlüsselung bereit. Mit DSS ist die Signaturgenerierung schneller als die Signaturverifizierung.
    • ECDSA-Schlüsseltypen verwenden elliptische Kurvenalgorithmen, die einen größeren Problemraum mit schnelleren Berechnungszeiten abdecken.
    • Der Schlüsseltyp RSA stellt digitale Signaturen, Schlüsselaustausch und Verschlüsselung bereit. Mit RSA ist die Signaturverifizierung schneller als die Signaturgenerierung.

    Nach Auswahl eines Schlüsseltyps und der Größe wird das Fenster Add SFTP Server Key (SFTP-Serverschlüssel hinzufügen) angezeigt:

    In diesem Fenster werden die Details zum Schlüssel angezeigt:

    • Fingerabdruck
    • Art
    • OpenSFTP-Format
    • SFTP2-Format
  2. Geben Sie im Feld Name einen Namen für den Schlüssel ein und klicken Sie auf OK.

    Der neue Schlüssel wird im Fenster Server Keys (Serverschlüssel) hinzugefügt.

    • Zum Bearbeiten des Namens des Schlüssels wählen Sie den Schlüssel aus und klicken Sie auf Details.
    • Zum Entfernen eines Schlüssels wählen Sie den Schlüssel aus und klicken Sie auf Remove (Entfernen).
    • Zum Festlegen eines Schlüssels als SFTP-Standardserverschlüssel wählen Sie den Schlüssel aus und klicken Sie auf Default (Standard). Der aktuelle Standardschlüssel wird umbenannt in „OldDefault-Jahr-Monat-Tag_xxxxxx“ und der Name des ausgewählten Schlüssels wird umbenannt in „Default“ (Standard).

Bereich „Bindings“ (Bindungen) (und Hinzufügen von alternativen Bindungen)

Mit alternativen Bindungen können Sie eine Server-IP und Server-Schlüsseltypen mit einer MOVEit Transfer-Organisation verknüpfen.

Wenn Ihr MOVEit Transfer-System über mehrere Organisationen verfügt und doppelte Benutzernamen über Organisationen hinweg zulässt, können Sie die Benutzer bei Systemanmeldung über eine alternative Bindung an die IP-Adresse ihrer jeweiligen Organisation weiterleiten. Sie können einer Organisation auch einen eindeutigen Serverschlüssel zuweisen, so dass sich Änderungen, die Sie an diesem Schlüssel vornehmen, nur auf diese Organisation auswirken.
Anmerkung: Sie können Bindungsregeln für eine einzelne IP-Adresse festlegen.

So fügen Sie eine alternative Bindung hinzu:

  1. Klicken Sie unter Bindings (Bindungen) auf Add (Hinzufügen).

    Das Dialogfeld Add SFTP Alternative Binding (Alternative SFTP-Bindung hinzufügen) wird angezeigt.

  2. Geben Sie Folgendes ein:
    • Server IP Address (Server-IP-Adresse): Geben Sie eine eindeutige IP-Adresse ein, die noch nicht über eine alternative Bindung verfügt. Wählen Sie nicht die standardmäßige Adresse unter „Bind to IP Address“ (Bindung mit IP-Adresse) (0.0.0.0.) aus.
    • Server Key (Serverschlüssel): Wählen Sie einen Hostschlüssel aus der Dropdown-Liste aus, der an die Server-IP-Adresse gebunden werden soll. Hier werden nur Serverschlüssel angezeigt, die bereits im Fenster Server Keys (Serverschlüssel) hinzugefügt wurden.
    • Organization (Organisation): Wählen Sie eine Organisation aus der Dropdown-Liste aus, die an die Server-IP-Adresse gebunden werden soll. In der Dropdown-Liste wird Folgendes angezeigt:
      • (default) (Standard): Jede Organisation kann als Standard eingestellt werden. Weitere Informationen zur Zuweisung einer Standardorganisation finden Sie in der Web-Benutzeroberfläche unter „SETTINGS - System - Miscellaneous“ (EINSTELLUNGEN – System – Sonstiges).
      • Ihre aktuellen MOVEit Transfer-Organisationen.
  3. Klicken Sie auf OK.

    Die neue Bindung wird im Fenster Bindings (Bindungen) hinzugefügt.

    Anmerkung: Wählen Sie zum Bearbeiten der Server-IP, des Serverschlüssels und der Organisation einer entsprechenden Bindung die Bindung aus und klicken Sie auf Edit (Bearbeiten). Wählen Sie zum Entfernen einer Bindung die Bindung aus und klicken Sie auf Remove (Entfernen).

Diagnoseprotokolle (auf der Registerkarte „Status“ festgelegt)

Die Diagnoseprotokolleinstellungen des SFTP-Servers von MOVEit Transfer können auf der Registerkarte Status des Konfigurationsprogramms geändert werden. Ausführlichere Informationen finden Sie unter Konfigurationsdienstprogramm für MOVEit Transfer Registerkarte „Status“.

Pfade (auf der Registerkarte „Paths“ (Pfade) festgelegt)

Der SFTP-Server von MOVEit Transfer kommuniziert über die auf dieser Registerkarte konfigurierte Computer-URL mit MOVEit Transfer. Einzelheiten finden Sie unter Konfigurationsdienstprogramm für MOVEit Transfer Registerkarte „Paths“ (Pfade).

Registerkarte „SFTP Ciphers“ (SFTP-Verschlüsselungen)

Tipp: Im Allgemeinen werden mit der neuesten Version von MOVEit Transfer sicherere Algorithmen zur Verfügung gestellt. Wenn Sie den strengen FIPS-Modus auswählen, wird die Liste auf Algorithmen reduziert, die dem FIPS-Standard entsprechen.

Die Registerkarte „SFTP Ciphers“ (SFTP-Verschlüsselungen) enthält folgende Optionen:

  • SFTP-Verschlüsselungen. Verfügbare Algorithmen zur Kodierung von Daten und ihre Priorität.
  • Hashfunktionen. Verwendete Hash-basierte Message Authentication Codes und deren Priorität.
  • Algorithmen zum Schlüsselaustausch. Verfügbare Algorithmen für den Austausch eines Sitzungsschlüssels und seine Priorität.
Anmerkung: Auf der Registerkarte „SFTP Ciphers“ (SFTP-Verschlüsselungen) können Sie eine Gruppe von Verschlüsselungsalgorithmen für den FIPS-Modus auswählen. Dieser Modus stellt kryptographische Funktionen und Algorithmen bereit, die der Norm „Federal Information Processing Standards“ (FIPS 140-2) entsprechen.
Wichtig: Die Liste der Algorithmen, aus der Sie wählen können, hängt von den Server- und Richtlinieneinschränkungen ab. Wenn Sie z. B. den FIPS-Modus aktivieren, wird eine Teilmenge der sichereren FIPS-konformen Algorithmen angezeigt.
Die vom SFTP-Server von MOVEit Transfer verwendeten Verschlüsselungs- und Hashalgorithmen können auf der Registerkarte „SFTP Ciphers“ (SFTP-Verschlüsselungen) konfiguriert werden.

Auf dieser Registerkarte können Sie die Verschlüsselungen und Hashfunktionen auswählen, die zur Sicherung der SFTP-Verbindung verwendet werden.

Für die FIPS- und PCI-Compliance müssen Sie möglicherweise die Verwendung von schwachen Verschlüsselungen vermeiden. Eine PCI-Überprüfung könnte beispielsweise die Verwendung von Verschlüsselungen wie MD5 und MD5-96 kennzeichnen. Zu den von FIPS zugelassenen kryptographischen Methoden für SFTP zählen (seit September 2015) die Verschlüsselungen 3des-cbc, aes128-cbc, aes192-cbc und aes-256 mit hmac-sha2-512, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-sha1-96 und hmac-md5-96 als zugelassene Hashfunktionen.

Anmerkung: Sowohl die Client- als auch Servereinstellungen werden bei der Auswahl der tatsächlichen Verschlüsselung und Hashfunktion für eine bestimmte Sitzung berücksichtigt. Auf beiden Seiten muss eine gemeinsame Verschlüsselung und Hashfunktion vorliegen, da ansonsten ein Fehler auftritt.

Auswahl von SFTP-Verschlüsselungen

Im Abschnitt „SFTP Ciphers“ (SFTP-Verschlüsselungen) können Sie die zulässigen Verschlüsselungen auswählen und ihre Reihenfolge festlegen. Standardmäßig sind alle für die aktuelle Plattform MOVEit Transfer verfügbaren Verschlüsselungen verfügbar.

  1. Mit dem Kontrollkästchen Enabled (Aktiviert) können Sie einen Eintrag aktivieren oder deaktivieren.
  2. Verwenden Sie die Pfeiltasten, um die Einträge in der Liste nach oben oder unten zu verschieben. (Die Priorität der Einträge richtet sich nach deren Reihenfolge in der Liste, wobei der oberste Eintrag die höchste Priorität hat.)
    Anmerkung: Wenn Sie schwache Verschlüsselungen oder Hashes zulassen müssen, sollten Sie immer die stärkeren Optionen an den Listenanfang setzen.

FIPS-Modus

Die SFTP-Bibliothek von MOVEit Transfer stellt kryptographische Funktionen und Algorithmen bereit, die der Norm „Federal Information Processing Standards“ (FIPS 140-2) entsprechen. Die FIPS-validierten sicheren Verschlüsselungs-, Schlüsselaustausch-, Hostschlüssel-, Clientschlüssel-, MAC- und Komprimierungsalgorithmen sind im MOVEit Transfer Config Utility verfügbar.

So wählen Sie den FIPS-Modus aus:

  1. Aktivieren Sie das Kontrollkästchen Enable FIPS Mode (FIPS-Modus aktivieren), damit nur SFTP-Verschlüsselungen, Hashfunktionen und Verschlüsselungsalgorithmen verwendet werden, die der FIPS-Norm entsprechen.
  2. Überprüfen Sie, ob Sie die Liste der Verschlüsselungen auf die Teilmenge reduziert haben, die dem FIPS-Standard entspricht.

Registerkarte „SFTP Ciphers“ (SFTP-Verschlüsselungen) mit aktiviertem Kontrollkästchen für den FIPS-Modus

Auswahl von SFTP-Hashfunktionen

Im Abschnitt „SFTP Hash Functions“ (SFTP-Hashfunktionen) können Sie die zulässigen Hash-Funktionen auswählen und ihre Reihenfolge festlegen. Standardmäßig stehen alle Hashfunktionen zur Verfügung, die auf der aktuellen MOVEit Transfer-Plattform verfügbar sind.

Anmerkung: Hashfunktionen werden verwendet, um die Integrität von Nachrichten festzustellen.
  1. Mit dem Kontrollkästchen Enabled (Aktiviert) können Sie einen Eintrag aktivieren oder deaktivieren.

    Einträge, die sich weiter oben in der Liste befinden, werden gegenüber den nachfolgenden Einträgen bevorzugt.
  2. Sie können die Einträge mit den Pfeiltasten nach oben oder unten verschieben.