6.8.3 [SSL/TLS] タブ ([セキュリティのプロパティ] ダイアログボックス)

Secure Socket Layer (SSL) プロトコルと、その後に開発された Transport Layer Security (TLS) プロトコルにより、公衆通信回線を介して、クライアントとサーバ間で暗号化された安全な接続を確立できます。SSL/TLS を使用した接続では、クライアント側でサーバを認証してから接続を確立し、クライアントとサーバ間でやりとりされる全データが暗号化されます。サーバ構成によっては、サーバはクライアントの認証も行います。

オプションは次のとおりです。

[SSL/TLS セキュリティを使用]

SSL/TLS 接続を使用します。このチェックボックスをオンにしてから、[SSL/TLS] タブ上のほかの値を設定してください。[SSL/TLS セキュリティを使用] を選択すると、安全な SSL/TLS 接続が確立できる場合のみホストに接続します。

SSL/TLS 接続を行う前に、クライアントがホストを認証する必要があります。認証は電子証明書を使用して処理されます。これらの証明書は、インターネット通信の安全性を守るための PKI (Public Key Infrastructure) に使用されているのと同じものです。ユーザのコンピュータは、ホストによって提示された電子証明書を認識するように設定する必要があります。また、必要に応じて、クライアント認証のために証明書を提供するように設定する必要があります。コンピュータが正しく設定されていない場合、または認証で提示した証明書が無効な場合、SSL/TLS 接続を確立することはできません。ホストの証明書の発行方法によっては、証明書をローカルコンピュータにインストールする必要があります。

[PKI の構成]

[PKI の構成] ダイアログボックスを開きます。 このダイアログボックスでは、SSL/TLS セッションの PKI 構成を指定できます。

[暗号化レベル]

SSL/TLS 接続の暗号化レベルを指定します。実際の暗号化レベルが指定したとおりでないと接続は失敗します。

[既定] を選択するとすべての暗号化レベルが有効になりますが、お使いのクライアントはホストとクライアントの両方に設定可能な最強の暗号化レベルを、ホストシステムと交渉して選択します。FIPS モードを実行しており、[既定] を選択した場合、FIPS 準拠の暗号化レベルのみを使用するように交渉が可能です。

メモ:確立した接続の有効な暗号化の強度は、ここで選択した値と一致しない場合があります。例えば、168 ビットの暗号化は、3DES 暗号スイートを使用しており、これは、168 ビットの鍵長を使用していますが、112 ビットだけの有効なセキュリティを提供しています。

[SSL/TLS バージョン]

SSL または TLS のどのバージョンを使用するかを指定します。

[証明書チェーンを取得し検証する]

ホスト認証において示される証明書が有効であり、信頼済みの CA によって署名されているかどうかを判断するため、チェックするかどうかを指定します。

注意:このオプションを無効にすると、接続が中間者攻撃に対して脆弱となり、接続のセキュリティを危険にさらす可能性があります。

[黙示的 SSL/TLS 接続]

IBM z/VM または z/OS Telnet サーバは、セキュア SSL/TLS 接続をネゴシエーションする際に STARTTLS コマンドを送信するように構成することができます。このコマンドを送信するように構成されたサーバに接続するには、このオプションの選択を解除します。

このコマンドを送信しないように構成されたサーバに接続するには、このオプションを選択したままにします。STARTTLSを必要とするサーバーでは、このオプションは任意選択となります。選択した場合、STARTTLS コマンドの送信に対応していないサーバとの接続状況を確認してください。

Reflection セキュリティプロキシサーバの設定

一元管理サーバ (Micro Focus とは別に利用可能) を使用してセッションを管理し、管理 WebStation からこのセッションを開始した場合、[Reflection セキュリティプロキシを使用] の設定を使用できます。これらのオプションを使用する場合、セッションは、一元管理サーバ に含まれるセキュリティプロキシを介してホストに接続されます。ホストで SSL/TLS 対応の Telnet サーバが実行されていない場合でも、このプロキシを使用して安全な接続を構成できます。(これらの設定の一部は、管理 WebStation を使用しているときのみ表示されます)。

メモ:

  • セキュリティプロキシを使用する場合、クライアントとセキュリティプロキシサーバとの間の接続は SSL/TLS プロトコルを使用して保護され、暗号化されます。既定で、プロキシサーバと接続先ホストとの間で送信される情報は暗号化されません。[エンドツーエンド暗号化] オプション (5250、3270、および VT セッションで利用可能) を有効にした場合、セキュリティプロキシと接続先ホストとの間を送信される情報も暗号化されます。([エンドツーエンド暗号化] では、ホストが SSL/TLS に対応していることが必要です。)

  • 認証が有効化されているセキュリティプロキシを介して接続するようにセッションを構成している場合、ユーザはこれらのセッションを使用して接続する前に、一元管理サーバにログオンする必要があります。

[Reflection セキュリティプロキシを使用]

サーバ接続のセキュリティプロキシを使用するように、このセッションを構成します。

[セキュリティプロキシ]

使用可能なサーバを表示するドロップダウンリストからプロキシサーバ名を選択します。

[プロキシポート]

ドロップダウンリストからプロキシサーバのポートを選択します。

[接続先のホスト]

セキュリティプロキシでクライアント認証が有効化されている場合は、接続先ホストの名前を入力します。クライアント認証が有効化されていない場合は、このボックスは読み取り専用です。

セキュリティポートを選択すると、そのポートを使用するように設定された接続先のホストが自動的に表示されます。

[送信先ポート]

セキュリティプロキシでクライアント認証が有効化されている場合は、接続先ポートを入力します。クライアント認証が有効化されていない場合は、このボックスは読み取り専用です。

セキュリティポートを選択すると、接続先のポートと接続先のホストが自動的に表示されます。

[エンドツーエンド SSL/TLS (クライアントからプロキシを経て宛先ホストへ)]

このオプションは、ホストへの直接的な SSL/TLS 接続のトンネルを作成します (この場合の接続もセキュリティプロキシサーバを経由します)。この接続には、2 つの証明書と、2 回の SSL/TLS ハンドシェイクが必要です。 1 つはクライアントとプロキシサーバの接続のため、もう 1 つはクライアントとホストの接続のためです。

[プロキシから宛先ホストへのデータは暗号化されません]

このオプションでは、クライアントからホストへの直接 SSL/TLS 接続に null 暗号が適用され、この接続は暗号化されません。これは、クライアント/ホスト接続に「トンネル」を提供するプロキシサーバへの、クライアントからの SSL/TLS 接続の暗号化には、影響しません。このオプションを選択すると、データはクライアントからプロキシサーバまで暗号化され、プロキシからホストまでは暗号化されません (「プレーンテキスト」)。

[プロキシの暗号スイート]

このプロキシホストとポート対応する暗号スイートの読み取り専用の一覧です。この一覧が表示されるのは、製品が管理 WebStation (一元管理サーバに含まれる) から起動される場合のみです。