問題が発生する前にクライアントがどれだけのことを実行できたかを最初に検討すると、クライアント証明書の問題を最も適切にトラブルシューティングできます。管理者は、すべてのクライアントがクライアント証明書を使用して正常に接続および認証するために満たす必要のある CA および認証情報の要件もよく理解する必要があります。

クライアント証明書に関する接続の問題は通常、TCP 接続を確立できない、SSL セッションを確立できない、認証できないという 3 つの問題のいずれかから生じます。クライアント証明書の問題をトラブルシューティングする際は、これらの要因を所定の順序で調べてください。FTP 接続の場合、TCP 接続については通常の FTP/SSL トラブルシューティングガイドに記載されています。他の 2 つの問題はこのセクションに記載されています。

  • 問題: 接続できない
    • ファイアウォールやその他の基本的な接続の問題に当てはまらないことを確認してください。
    • クライアントはクライアント証明書を使用するように設定されていますか。
    • クライアントは MOVEit Transfer サーバー証明書を使用しても問題ありませんか。
    • クライアント証明書の CA は MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアにインストールされていますか(そうでない場合、クライアント証明書自体がここにインストールされていますか)。
  • 問題: 認証できない
    • 接続できない場合、まだ認証の問題について心配する必要はありません。
    • ユーザープロファイルを確認してください。
    • クライアント証明書が必要ですか (必要でない場合、これはパスワードの問題です)。
    • クライアント証明書が必要なときにパスワードが必要な場合、クライアントからパスワードが提供されましたか。
    • 証明書の CN をユーザー名/実際の名前と照合する組織レベルのオプションが有効になっており、クライアント証明書の CN がこのユーザーのユーザー名/実際の名前に一致する場合、クライアント証明書の CA は信頼された CA の組織レベルリスト内にありますか。
    • そうでない場合、ユーザーのクライアント証明書の保留タンクにエントリがありますか (その場合、適切なエントリを承認してください)。
    • クライアント証明書の CN が承認済みの証明書としてユーザープロファイルにリストされていますか (その場合、クライアント証明書の CA が信頼された CA の組織レベルリスト内にあることを確認してください)。
    • そのユーザーのユーザーレポートを引き出してください。その他の手がかりについてログエントリを調べてください。

よくある質問

Q: ユーザープロファイルで [Require Certs (証明書が必要)] をオンにしましたが、MOVEit Transfer はクライアント証明書を無視しています。A:MOVEit Transfer Config ユーティリティの [FTP Ports (FTP ポート)] タブの [Client Cert (クライアント証明書)] ポートオプションも設定する必要があります。 クライアント証明書認証が成功するには、FTP クライアントが証明書以外の 2 つのポートのいずれかではなく、2 つのクライアント証明書ポートのいずれかに接続することも必要です。

Q: ユーザーをクライアント証明書に移行する最適な方法を教えてください。A:MOVEit Transfer Config ユーティリティの [FTP Ports (FTP ポート)] タブの [Client Cert (クライアント証明書)] ポートオプションをオンにして、一致するファイアウォールポートを開きます。各クライアントが FTP クライアント証明書認証に移行する際、接続パラメータを証明書以外のポートからクライアント証明書ポートに切り替えるように指示します。

Q: クライアント証明書を生成しましたが、接続しようとしても、クライアント証明書の保留タンクに表示されません。A:MOVEit Transfer でクライアントがそのクライアント証明書を使用して TLS (SSL) 接続を確立できるようにするには、次の 2 つのいずれかを行う必要があります。自己生成されたクライアント証明書に、MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアに既に証明書がある CA が署名する必要があります。または、自己生成されたクライアント証明書自体を、MOVEit Transfer 用の Microsoft の信頼されたルート証明書ストアにインポートする必要があります。いずれの操作を行う手順も、「クライアント証明書 - インポートと作成」ページに記載されています。

Q: クライアント証明書の CN を特定のユーザーの有効な認証情報として承認しましたが、そのユーザーが接続しようとすると、「証明書が登録されていない」というエラーが表示されます。A:おそらくクライアント証明書の CA が、組織内の信頼された CA として割り当てられていません。クライアント証明書の CA が [Client Cert CA Holding Tank (クライアント証明書の CA の保留タンク)] にあるかどうかを確認してください。

追加サポート

さらにサポートが必要な場合は、PSC/MOVEit サポートサイトのナレッジベースを参照してください。