TLS (SSL) - Certificats client - Configuration IIS

IIS est défini de manière à accepter les certificats client sur certains fichiers

L'interface Web MOVEit Transfer prend en charge l'authentification du certificat client dès que ce dernier est installé ou mis à jour vers la version 4.0 ou supérieure. Aucune modification manuelle ne doit être apportée à IIS ; le programme d'installation/de mise à jour définit les paramètres IIS nécessaires en arrière-plan.

Les indicateurs des conditions d'authentification sur les comptes d'utilisateur individuels permettent de contrôler si les certificats client sont requis et si les certificats client peuvent être utilisés dans le cadre de l'authentification. (Pour plus d'informations, reportez-vous à la section Interface Web - Utilisateurs - Profil.)

Avantages/Inconvénients

• Avantage : Ne requiert aucune configuration ou travail administratif supplémentaire.
• Avantage : Facile à utiliser lors de la migration des utilisateurs vers un environnement de certificat client.
• Avantage : Rétrocompatible avec les clients et les processus existants.
• Inconvénient : Les auditeurs peuvent choisir de cocher la case Require client certificates (Certificats client obligatoires) sur IIS.

humancc.aspx et machinecc.aspx

Par défaut, MOVEit Transfer définit l'indicateur Accept client certificates (Accepter les certificats client) sur deux fichiers : humancc.aspx et machinecc.aspx. « cc » signifie « certificat client » dans les noms des deux fichiers.

Toutes les sessions de navigateur Web doivent s'authentifier via human.aspx et tous les autres clients doivent s'authentifier via machine.aspx. Lorsqu'un utilisateur tente de s'authentifier via human.aspx ou machine.aspx et que MOVEit Transfer remarque que le compte de l'utilisateur requiert une authentification du certificat client, MOVEit Transfer redirige automatiquement la session de l'utilisateur vers humancc.aspx ou machinecc.aspx. À ce stade, l'utilisateur est invité à saisir les authentifiants du certificat client (en cas d'utilisation d'un navigateur Web) ou les authentifiants du certificat client seront utilisés (en cas d'utilisation d'un autre client). Aucune « deuxième page de connexion » n'est présentée ; du point de vue de l'utilisateur, l'intégralité du processus de connexion requiert simplement un envoi unique.

Aucun autre fichier ou dossier ne porte la mention « Accept client certificates » (Accepter les certificats client). Pour accéder aux ressources MOVEit Transfer, vous devez attendre qu'un utilisateur se soit authentifié avec l'un des certificats client requis, de manière à ce que seules les passerelles d'authentification portent la mention Accept client certificates (Accepter les certificats client).

Indicateur « Accept Client Certificates » (Accepter les certificats client) à l'échelle du site (Ne pas le configurer !)

Ne configurez pas l'indicateur Accept client certificates (Accepter les certificats client) à l'échelle du site sur votre site Web IIS MOVEit Transfer. Cette configuration n'est pas prise en charge et n'est pas nécessaire pour demander aux utilisateurs de MOVEit Transfer individuels d'utiliser des certificats client lors de l'authentification.

Deux signes peuvent indiquer qu'une personne a renversé l'indicateur Accept client certificates (Accepter les certificats client) sur votre site IIS moveitdmz IIS :

• Vos utilisateurs d'IE voient apparaître une étrange boîte de dialogue vide lorsqu'ils essayent de se connecter à MOVEit Transfer. La zone vide est une manière inhabituelle pour IE de signaler à l'utilisateur que le site auquel il s'est connecté a demandé un certificat client (ce qui veut dire que c'est le cas pour l'indicateur IIS Accept (Accepter) mais que cet utilisateur ne possède pas de certificat client susceptible de fonctionner avec le site.
• Tous les transferts de fichiers cessent de fonctionner et toutes les connexions FTP et SSH sont rejetées.

IIS est défini de manière à demander les certificats client sur la plupart du contenu

Le fait de configurer l'indicateur de site IIS sur Require client certificates (Certificats client obligatoires) n'est généralement ni nécessaire, ni recommandé à moins que cela s'avère absolument indispensable. Une grande quantité de travail est requise par les administrateurs, les utilisateurs et les opérateurs des systèmes distants ; le meilleur choix est d'opter pour les certificats client au niveau de l'application MOVEit Transfer.

De plus, l'indicateur Require client certificates (Certificats client obligatoires) est pris en charge uniquement par le logiciel MOVEit Transfer sous Windows Server 2003.

Avantages/Inconvénients

• Avantage : Les auditeurs peuvent préférer cocher la case Require client certificates (Certificats client obligatoires) sur IIS.
• Avantage : Personne ne peut se connecter depuis un emplacement distant sans utiliser un certificat client. (Aucune exception)
• Inconvénient : Les utilisateurs Admin perdent leur accès distant si leur certificat client n'est plus valide.
• Inconvénient : Requiert une configuration ou du travail administratif supplémentaire.
• Inconvénient : Rend plus difficile la migration des utilisateurs vers l'environnement du certificat client.
• Inconvénient : N'est pas rétrocompatible avec les clients et les processus existants.

Site IIS supplémentaire réservé aux hôtes locaux

Les FTP, SSH, ISAPI MOVEit Transfer et les autres services associés communiquent parfois avec l'application MOVEit Transfer de base par l'intermédiaire de transactions XML basées sur HTTP/S. Pour autoriser cette conversation à se poursuivre dans un environnement Require client certificates (Certificats client obligatoires), vous devez effectuer une copie de l'IIS moveitdmz d'origine, puis le configurer de manière à écouter les connexions de l'hôte local uniquement.

Pour installer ce site supplémentaire et configurer MOVEit Transfer de manière à ce qu'il l'utilise en contexte pour définir l'indicateur Require client certificates (Certificats client obligatoire) à l'échelle du site, utilisez la procédure suivante.

1. Ouvrez le gestionnaire et exportez le site IIS moveitdmz.
   • Double-cliquez sur votre site MOVEit Transfer.
   • Choisissez All tasks (Toutes les tâches), puis Save configuration to file (Enregistrer la configuration sur le fichier)
2. Importez le site que vous venez d'exporter et cliquez sur le message d'avertissement duplicate name (nom en double). (Ce message d'avertissement est sans risque et vous permettra d'importer le site.)
   • Double-cliquez sur l'en-tête Web Sites (Sites Web).
   • Choisissez New (Nouveau), puis Web site from file (Site Web depuis un fichier).
   • Naviguez vers le fichier créé lors de l'étape 1.
   • Cliquez sur le bouton Read file (Lire fichier), sélectionnez le nom du site, puis cliquez sur OK.
3. Renommez le nouveau site. (Dans ce cas, le nom en double peut s'avérer dangereux si vous n'intervenez pas.)
4. Ouvrez le nouveau site et effectuez les étapes suivantes dans l'ordre suivant :
   • Définissez les exigences en matière de certificat client sur Ignore (Ignorer)
   • Décochez la case de paramètre SSL 128-bit, le cas échéant.
   • Décochez la case Require SSL (SSL obligatoire), le cas échéant.
   • Supprimez tous les certificats du serveur associés au site.
   • Liez le site à l'adresse 127.0.0.1 uniquement (aucun en-tête des hôtes) et supprimez le port TLS (SSL). Remplissez le port (non TLS) avec la valeur 80 si ce n'est pas déjà le cas.
5. Ouvrez le site moveitdmz et assurez-vous qu'il n'est pas lié de manière explicite à l'adresse 127.0.0.1.
6. Ouvrez l'utilitaire de configuration de MOVEit Transfer, accédez à l'onglet Paths (Chemins), puis définissez l'URL de la machine sur http://localhost/machine.aspx.
7. À ce stade, vous pouvez activer l'option Require client certificates (Certificats client obligatoires) sur le site moveitdmz. Si vous y êtes invité, vous devez écraser les paramètres sur tous les fichiers, à l'exception des paramètres répertoriés dans la section « Exceptions » ci-dessous. Assurez-vous que le paramètre de sécurité des fichiers umancc.aspx et machinecc.aspx est défini de manière à demander le SSL et les certificats client.
8. Assurez-vous que les deux sites sont démarrés.
9. Procédez à des tests à l'aide de l'utilitaire de vérification de MOVEit Transfer (peut permettre d'ignorer certains tests), puis de sessions client en direct afin de vous assurer que tout fonctionne correctement.

Exceptions

Même si la propriété du certificat client par défaut sur votre site IIS moveitdmz va être définie sur Require... (Obligatoire), les dossiers suivants doivent toujours être marqués Ignore client certificates (Ignorer les certificats client) pour prendre en charge l'utilisation de l'assistant de téléchargement Java.

• MOVEitISAPI : La case Ignore client certificates (Ignorer les certificats client) doit être cochée pour éviter les complications liées aux certificats client lors de l'utilisation de l'assistant de téléchargement Java. Cette procédure est sécurisée dans la mesure où cet utilitaire de transfert de fichiers n'accorde pas l'accès aux fichiers, à moins qu'une session ait été authentifiée.
• Java : La case Ignore client certificates (Ignorer les certificats client) doit être cochée pour éviter les complications liées aux certificats client lors de l'utilisation de l'assistant de téléchargement Java. Ce dossier héberge l'applet de l'utilisation de l'assistant de téléchargement qui est téléchargé et exécuté par les navigateurs Web. Cette procédure ne présente aucun risque puisque les contenus de ce dossier sont disponibles publiquement à partir de n'importe quel autre serveur MOVEit Transfer.
• Images : La case Ignore client certificates (Ignorer les certificats client) doit être cochée pour éviter les complications liées aux certificats client lors de l'utilisation de l'assistant de téléchargement Java. Ce dossier héberge les images utilisées dans l'applet de l'assistant de téléchargement Java. Cette procédure est sécurisée dans la mesure où les contenus de ce dossier sont disponibles publiquement à partir de n'importe quel serveur MOVEit Transfer ou disponibles publiquement pour toutes les personnes ayant accès à la page de connexion MOVEit Transfer (publique).

Lorsque les programmes d'installation et de mise à jour MOVEit Transfer sont exécutés, l'option Ignore client certificates (Ignorer les certificats client) est automatiquement réinitialisée sur ces dossiers. (Cependant, les actions d'installation Repair (Réparer) n'entraînent pas la réinitialisation de ces paramètres.)

Rétablissement de « Require... » (Demander...) vers « Accept... » (Accepter)

Pour rétablir Require... (Demander...) vers Accept... (Accepter), le meilleur traitement possible est de définir les exigences relatives au certificat client au niveau du site IIS depuis Require... (Demander...) vers Ignore... (Ignorer...), puis de forcer une mise à jour MOVEit Transfer (et non une simple « réparation ») pour réinitialiser les propriétés appropriées dans les autres éléments du site Web IIS. Pour des conseils sur la manière d'effectuer une mise à jour de MOVEit Transfer, rendez-vous sur le portail client MOVEit.

Sinon, basculez le paramètre de certificat client au niveau du site IIS depuis Require... (Demander...) vers Ignore... (Ignorer...) (tout en choisissant d'écraser tous les sous-dossiers), puis définissez l'indicateur Accept client certificates (Accepter les certificats client) sur les fichiers humancc_aspx et machinecc_aspx comme indiqué ici :

Après avoir effectué l'une des deux procédures, vous pouvez également choisir de supprimer le site IIS de l'hôte local supplémentaire requis par l'indicateur Require... (Demander...). Vous pouvez également avoir besoin de modifier l'URL de la machine sur l'onglet Paths (Chemins) de l'utilitaire de configuration de MOVEit Transfer si votre site moveitdmz est lié à une adresse IP spécifique.