De la même manière que le certificat du serveur TLS (SSL) est utilisé pour vérifier l'identité du serveur auprès du client, les clients peuvent également présenter des certificats auprès du serveur pour leur permettre de vérifier leur identité. Les certificats TLS (SSL) présentés par un client au serveur sont appelés Certificats client. Tandis que la plupart des serveurs ne contraignent pas les clients à présenter leurs propres certificats, beaucoup le requièrent désormais, étant donné que les certificats client fournissent un facteur d'authentification supplémentaire. MOVEit Transfer prend en charge l'acceptation ou la demande de certificats client, que ce soit sur les interfaces FTPS ou HTTPS.

Comme c'est le cas dans pratiquement l'ensemble des schémas clé/certificat du client, le niveau de sécurité le plus élevé offert par les certificats clients de qualité cryptographique exige un travail d'administration supplémentaire. Le serveur TLS (SSL) doit généralement être configuré pour demander des certificats clients ou non (si IIS est en mesure d'accepter les certificats client lorsqu'ils sont présents, mais autorise toujours les connexions quand ils ne sont pas), et le certificat client doit être approuvé par le serveur pour que la connexion se poursuive. Pour approuver un certificat client (par ex., approuver un certificat du serveur), vous devez vous assurer que le certificat est lui-même approuvé, ou qu'il est signé par une autorité de certification fiable.

Critères de connexion/d'authentification du certificat client

Pour utiliser un certificat client dans le but d'authentifier un utilisateur spécifique sur une interface FTPS ou HTTPS, vous devez remplir au moins l'une des conditions « CA » et l'une des DEUX conditions « authentifiants » suivantes. Les certifications client doivent correspondre à l'une des conditions « CA » avant de pouvoir de se connecter à MOVEit Transfer, tout en respectant l'une des conditions « authentifiants » qui permettent au client de s'authentifier à MOVEit Transfer.

  • Conditions CA
    • Le certificat client lui-même doit être installé dans le magasin des certificats racines de confiance Microsoft.
    • Le certificat client doit être signé par un certificat d'une autorité de certification approuvée, soit parce que le certificat CA est installé dans le magasin des certificats racines de confiance Microsoft, soit parce qu'une CA de la chaîne de signature est installée dans le magasin des certificats racines de confiance Microsoft.
  • Conditions des authentifiants
    • L'empreinte numérique du client doit être attribuée au profil d'un utilisateur spécifique.
    • Le nom commun (NC) du certificat client doit être attribué au profil d'un utilisateur spécifique ET la CA du certificat client doit se trouver dans la liste des CA de confiance au niveau de l'organisation.
    • Le nom commun (NC) du certificat client doit correspondre au nom d'utilisateur ou au nom complet d'un utilisateur spécifique, l'option Match Cert CN to Username/Full Name (Faire correspondre le certificat de nom commun au nom d'utilisateur/nom complet) doit être activée, ET la CA du certificat client doit se trouver dans la liste des CA de confiance au niveau de l'organisation.

Exemple de connexion/d'authentification du certificat client - Certificat fixe, critères flexibles

Pour mieux illustrer la manière dont ces conditions s'appliquent à un véritable certificat, imaginez un certificat client avec les caractéristiques suivantes :

  • NC = « Frank »
  • Empreinte numérique = « 3D17 CFF3 E27B 127D 2753 A7F1 873E 2743 783B FBD2 »
  • Signé par le certificat CA avec le NC = « Chug et Ring »
  • Le certificat CA a été signé par un autre certificat CA avec NC = « Toot »

Pour utiliser ce certificat de manière à ce qu'un utilisateur spécifique puisse se connecter et s'authentifier, vous devez réunir l'une des conditions « CA » et l'une des conditions « authentifiants » suivantes.

  • Pour autoriser une connexion TLS (SSL), vous devez respecter l'une des conditions CA suivantes :
    • Le certificat « Frank » a été installé dans le magasin de certificats Microsoft Certificate Trusted Root.
    • Le certificat CA « Chug et Ring » a été installé dans le magasin de certificats Microsoft Certificate Trusted Root.
    • Le certificat CA « Toot » a été installé dans le magasin de certificats Microsoft Certificate Trusted Root.
  • Pour permettre au certificat client de servir d'authentifiants valides pour un utilisateur spécifique, vous devez respecter l'une des conditions « authentifiants » suivantes :
    • L'empreinte numérique « 3D17 CFF3 E27B 127D 2753 A7F1 873E 2743 783B FBD2 » a été attribuée au profil d'un utilisateur spécifique.
    • Le NC « Frank » a été attribué au profil d'un utilisateur spécifique ET « Chug et Ring » a été ajouté à la liste des CA de confiance au niveau de l'organisation.
    • Le nom d'utilisateur ou le nom complet de l'utilisateur spécifique est « Frank », l'option Match Cert CN to Username/Full Name (Faire correspondre le certificat de nom commun au nom d'utilisateur/nom complet) a été activée au niveau de l'organisation ET « Chug et Ring » a été ajoutée à la liste des CA de confiance au niveau de l'organisation.

Exemple de connexion/d'authentification du certificat client - Certificat flexible, critères fixes

Dans l'exemple présenté dans le diagramme, les critères d'authentification sont fixes et différents certificats client peuvent être utilisés pour l'authentification.

  • MOVEit Transfer Server : Les trois principaux magasins d'informations de certification et un paramètre important sont affichés.
    • Profil utilisateur (Certificats acceptés) de « Rich » : Plusieurs empreintes numériques sont répertoriées ici, ainsi que le NC alternatif de « Dick ». (« Rich » est également un NC autorisé puisque l'option Match CN to Username/Fullname (Faire correspondre le nom commun au nom d'utilisateur/nom complet) est cochée.)
    • CA de confiance : Les certificats qui présentent un NC pour authentification doivent être signés par l'une de ces CA. Vous remarquez qu'une CA (« Verisign ») est désignée comme approuvée, tandis que les certificats signés avec ce CA ne parviennent pas à se connecter car la CA n'est pas installée dans le magasin des certificats racines de confiance Microsoft.
    • Magasin des certificats racines de confiance Microsoft : Il s'agit du seul endroit dans lequel les informations sur les certificats client sont installés (plutôt que référencés). Tous les certificats clients doivent être signés par la CA dans ce magasin (ou être installés eux-mêmes) avant que la connexion FTPS ne fonctionne.
    • Match CN to Username/Fullname (Faire correspondre le nom commun au nom d'utilisateur/nom complet) : Voir « Profil utilisateur... » ci-dessus.
  • CA tierce : Une sélection de CA tierces et certaines CA « revendeur » dont les certificats de signature ont été signés par des CA « niveau racine ».

Avec cette configuration, différents certificats client se connectent et s'authentifient avec différents degrés de réussite, selon le NC, l'empreinte numérique et la CA associée à chaque certificat. (les certificats auto-signés sont indiqués par une grande barre noire, la plupart des autres certificats portent le nom de leur CA.)

  • Certificats client qui ne sont pas en mesure de se connecter : Ces certificats client « ne sont associés » à aucun certificat installé dans le magasin des certificats racines de confiance Microsoft de MOVEit Transfer.
  • Certificats client capables de se connecter mais pas de s'authentifier : Tous ces certificats client « sont associés » à un certificat installé dans le magasin des certificats racines de confiance Microsoft de MOVEit Transfer. Cependant, ces certificats ne sont pas enregistrés correctement pour authentification pour les raisons suivantes :
    • Le certificat possède un NC correspondant mais sa CA n'est pas jugée digne de confiance.
    • L'empreinte numérique du certificat ne correspond pas à l'empreinte numérique d'un profil d'utilisateur.
  • Certificats client capables de se connecter et de s'authentifier : Tous ces certificats client « sont associés » à un certificat installé dans le magasin des certificats racines de confiance Microsoft de MOVEit Transfer. Tous ces certificats s'authentifient correctement pour les raisons suivantes :
    • Le certificat possède un NC correspondant et n'a pas été signé par une CA de confiance.
    • L'empreinte numérique du certificat correspond à l'empreinte numérique d'un profil utilisateur.

Administration du certificat client

La sécurité améliorée des certificats clients implique une surcharge administrative. Dans MOVEit Transfer, pour gérer les utilisateurs avec des certificats client, utilisez la page Edit SSL Client Certificates (Modifier les certificats de client SSL), accessible à partir du User Profile (Profil d'utilisateur).

Pour gérer les utilisateurs avec des certificats client, procédez comme suit :

  1. Sélectionnez USERS > username (UTILISATEURS > nom d'utilisateur). La page User Profile (user name) (Profil d'utilisateur (nom d'utilisateur) s'ouvre. Identifiez la section Authentification d'utilisateur.
  2. Sous Credentials Required for Access (Critères d'accès obligatoires), cliquez sur le lien HTTP Policy (Stratégie HTTP ) ou sur le lien FTP Policy (Stratégie FTP). La page Edit HTTP Policy (Modifier la stratégie HTTP) ou Edit FTP Policy (Modifier la stratégie FTP) s'ouvre.
  3. En bas de la page de connexion, cliquez sur Edit SSL Client Certificates (Modifier les certificats de client SSL). La page de gestion des certificats client destinée aux utilisateurs s'ouvre.

    Dans la section Current SSL Client Certificates... (Certificats de client SSL actuels), vous pouvez effectuer les actions suivantes :