Z and I Emulator for Web クライアントのための基本 TLS の使用可能化
Z and I Emulator for Web クライアントのための TLS プロトコルを選択すると、基本的な TLS セッションが確立されます。TLS ネゴシエーション処理中に、サーバーはその証明書をクライアントに提示します。基本 TLS を使用可能にする場合、証明書は、クライアントが信頼している認証局によって署名されていなければなりません。クライアントは、最初に WellKnownTrustedCAs.class を検査し、その後で CustomizedCAs.class を検査します。TLS の有効化に JSSE を使用するように Z and I Emulator for Web が構成されている場合は、WellKnownTrustedCAs.jks ファイルおよび CusomizedCAs.jks ファイルが使用されます。これらのファイルから署名者が見つからなかった場合には、クライアントはセッションを拒否します。クライアントがこれらのファイルから署名者を検出した場合、そのセッションは確立されます。これが基本サーバー認証です。Z and I Emulator for Web のクライアント構成を使用すると、より拡張された形式のサーバー認証を構成することができます。詳しくは、以下のセクションを参照してください。
- サーバー認証
- クライアントとサーバー間のデータ交換を暗号化しても、 クライアントが適切なサーバーと通信を行うことが保証されるわけではありません。このような危険を避けるために、サーバー認証を使用可能にし、 サーバーの証明書が信頼できることを確認してから、 クライアントが証明書にあるインターネット名とサーバーのインターネット名が一致することを確認できるようにします。両者が一致する場合、TLS のネゴシエーションが続行されます。一致しなければ、接続は即時に終了します。詳細については、オンライン・ヘルプの 『サーバー認証』を参照してください。
- クライアント認証
- クライアント認証は、サーバー認証と似ていますが、サーバー認証と異なる点は、 クライアントが本人であることを確認するため、Telnet サーバーがクライアントからの証明書を要求するという点です。Z and I Emulator for Web リダイレクターほか、すべてのサーバーがクライアント認証をサポートするわけではありません。クライアント認証を構成するには、次の事柄を実行しなければなりません。
- クライアントの証明書を入手する
- クライアントに証明書を送信する
- クライアント認証を使用するようにクライアントを構成する
- Express Logon
- Express Logon の 2 つのタイプがあります。
- Web Express Logon: 「Web Express Logon」を使用すると、ユーザーはホスト・システムおよびホスト・アプリケーションにユーザー ID とパスワードを提供しなくてもログオンできます。この機能はネットワーク・セキュリティー・アプリケーションと連動して働き、 ユーザーのネットワーク信任状を取得して、それをホスト信任状にマップし、何度もログオンする必要を無くします。ご使用のホストに応じて、この自動ログオン・プロセスはマクロ・ベースか、接続ベースで行えます。詳しくは、「Web Express Logon Reference」を参照してください。
- 証明書 Express Logon: 「証明書 Express Logon」はマクロ・ベースで、これによりユーザーはユーザー ID とパスワードを入力することなくログオンできます。TLS のセッションおよびクライアント認証を構成し、Communications Server が高速ログオンをサポートするよう構成されていることが必要ですが、機能的には「Web Express Logon」と似ています。詳しくは、オンライン・ヘルプの『Express Logon』を参照してください。
表 1. ヒント Web Express Logon は、クライアント・サイド証明書を使用するタイプのログオン自動化を提供します。このモデルは証明書ベースの Web Express Logon と呼ばれ、 証明書高速ログオンとは大きく異なります。証明書 Express Logon では、ログイン・プロセスを自動化するように 構成されている高速ログオン対応の TN3270 サーバーに対してユーザーを認証するために、 クライアント証明書が使用されます。一方、証明書ベースの Web Express Logon では、クライアント証明書は、Web サーバーまたは ネットワーク・セキュリティー・アプリケーションに対してユーザーを認証するために使用され、ログイン・プロセスの 自動化はプラグインとマクロによって行われます。詳しくは、「Web Express Logon Reference」を参照してください。
- TLS ベースの Telnet セキュリティー
- Telnet 折衝セキュリティーでは、確立した Telnet 接続において、 クライアントと Telnet サーバー間でのセキュリティー・ネゴシエーションを行うことができます。Z and I Emulator for Web 3270 ディスプレイおよびプリンター・セッション用に Telnet ネゴシエーション・セキュリティーを構成できます。
Z and I Emulator for Web クライアントで Telnet 折衝セキュリティーを使用するには、Telnet サーバーが TLS ベースの Telnet セキュリティー (IETF インターネット・ドラフト 『TLS-based Telnet Security』 に説明があります) をサポートしていなければなりません。Communications Server for z/OS は、TLS ベースの Telnet セキュリティーを サポートします。
Telnet 折衝セキュリティーの詳細については、オンライン・ヘルプの 『Telnet 折衝セキュリティーの概説』を参照してください。Telnet サーバーでの TLS の構成の詳細については、Telnet サーバーの資料を、またセキュア Telnet サーバーへのクライアント接続の構成の詳細については、オンライン・ヘルプの『セキュリティー』のトピックを参照してください。
- TLS ベースの FTP セキュリティー
- Z and I Emulator for Web は、FTP セッションに対して、TLS ベースのセキュア・ファイル転送を提供します。FTP セッションは、ポート 990/989 に対する暗黙/無条件の TLS のネゴシエーションをサポートしません。そのため、セキュア FTP セッションに対してポート 990 を使用することはできません。FTP セッションは、他のすべてのポートに対しては、明示的/条件付き (AUTH コマンド) の TLS のネゴシエーションのみをサポートします。
FTP セッションのセキュリティー・プロパティーは、エミュレーター・セッションのセキュリティー・プロパティーから独立しています。統合された FTP セッションについては、FTP セッション・プロパティーの新しい「セキュリティー」タブを使用して、FTP セキュリティー情報を構成する必要があります。エミュレーター・セッションをセキュアとして構成し、 ファイル転送タイプを FTP に設定した場合、FTP セッションは自動的には保護されません。このような場合は、「OK」ボタンをクリックすると、以下のメッセージが表示されます: セキュア・ファイル転送セッションが必要な場合には、ファイル転送のデフォルトにセキュリティー情報を構成してください。
TLS ベースのセキュア FTP 機能は、z/OS V1R2 以降でサポートされています。