TLS/SSL

TLS/SSL ウィンドウ上でオプションを使用可能にするには、「接続」ウィンドウでプロトコルとして「FTP - TLS」または「FTP - SSL」だけを選択する必要があります。

Transport Layer Security (TLS) と Secure Sockets Layer (SSL) はそれぞれ異なる通信プロトコルです。 この 2 つのプロトコルにより、アプリケーションはデータ暗号化を使用してインターネット経由で安全に通信することができます。TLS は SSL を基にしていますが、SSL とは異なる初期ハンドシェーク・プロトコルを持ち、SSL より拡張性に富んでいます。TLS と SSL に相互運用性はありません。すなわち、TLS を使用しているアプリケーションは、SSL を実行しているアプリケーションとは通信できません。これらのプロトコルは共に広く使用されています。

サーバー認証
サーバーのインターネット名がサーバーの証明書の中の共通名と一致した場合にのみセキュア・セッションが確立されるようにします。これは、ローカルにインストールされたクライアントまたは HTTPS 経由でダウンロードされたクライアントのみで有効です。

MSIE ブラウザーの鍵リングの追加
「はい」をクリックすると、Z and I Emulator for Web クライアントは、Microsoft Internet Explorer ブラウザーが信頼している認証局を受け入れます。

以下のオプションは、クライアント認証の扱い方を指定するために使用されるものです。

Send a Certificate
Enables Client Authentication.   「いいえ」をクリックして、サーバーがクライアント証明書を要求すると、クライアント証明書を入手できないことがサーバーに通知され、ユーザーはプロンプトを受け取りません。

証明書ソース
クライアントのブラウザーやスマート・カードなどの専用セキュリティー・デバイスに証明書を保存できます。

あるいは、パスワードによって保護されるローカルまたはネットワーク・アクセス・ファイル () に保存することができます。

URL またはパスとファイル名
クライアント証明書のデフォルト位置を指定します。使用できる URL プロトコルは、 使用しているブラウザーの 機能によって異なる。たいていのブラウザーは、 HTTP、 HTTPS、 FTP、 および FTPS をサポートする。

ファイルの選択
ローカル・ファイル・システムをブラウズして証明書を含んだファイルを選択するには、「ファイルの選択」をクリックします。

証明書名
リストから証明書を選択します。サーバーによって信頼された証明書を受け入れることもできます。

証明書名の追加
クライアント証明書を選択するためのパラメーター (証明書を定義するために使用される共通名、電子メール・アドレス、 組織単位、および組織などを含む) を指定するには、「名前の追加」をクリックします。(このボタンは、管理者の構成パネルのみで使用できます。)

プロンプトを出す頻度
このドロップダウン・ボックスでは、クライアント証明書のプロンプトを出すタイミングを制御できます。サーバーに接続するたびプロンプトを出すか、あるいは Z and I Emulator for Web を開始した後に初回だけプロンプトを出すかを選択できます。 

証明書がパスワードで保護されているファイル内にあり、クライアントが設定をローカルに保管することをサポートしている場合は、「1 度だけのプロンプト」を選択すると、次に接続が行われたときに ZIEWeb によってパスワードを問うプロンプトが出されますが、その後は接続しようとして失敗しない限りプロンプトが出されることはありません。

証明書が MSIE ブラウザー経由でアクセスされている場合は、Z and I Emulator for Web から (ブラウザーまたはセキュリティー・デバイスからではない) のプロンプトを使用不可にする「プロンプトを出さない」だけでなく、「プロンプトを一度だけ出す」を任意のクライアントで選択できます。

接続前の証明書の検索
「はい」をクリックすると、サーバーが証明書を要求しているかどうかに関わらず、クライアントはサーバーに接続する前に証明書にアクセスします。「いいえ」をクリックすると、クライアントが証明書にアクセスするのはサーバーが要求した後だけです。他の設定によっては、クライアントがサーバーへの接続を強制的に異常終了し、ユーザーにプロンプトを出し、それから再接続することがあります。

ロック (Z and I Emulator for Web 管理者のみ)
ユーザーがセッションに関連した始動値を変更できないようにするには、「ロック」を選択します。ほとんどのフィールドは使用不可になっていて、ユーザーが値を変更することはできません。ただし、セッション・メニュー・バーまたはツールバーからアクセスした機能は変更できます。

JSSE を使用
このオプションを有効にすると、Java Secure Socket Extension (JSSE) を使用する TLS v1.0、TLS v1.1、および TLS v1.2 による安全な接続が可能になります。このオプションを使用するには、JRE (IBM または Oracle) のバージョンが V7 以降でなければなりません。JRE V6 以前では、JSSE を使用するようにセッションを構成することは可能ですが、JSSE ベースのセッションは JRE V7 以降でのみ動作します。

TLS Version
Select TLS v1.0, TLS v1.1, or TLS v1.2 as appropriate. これらのオプションのいずれかが選択されると、TLS v1.0 より下位のバージョンのプロトコルのすべてが有効になります。このオプションはデフォルトで有効になっていて、TLSv1.2 が選択されています。

鍵使用および拡張鍵使用のサポート

クライアントがユーザーのスマート・カード、ブラウザー、または p12 ファイルの認証証明書を認識して利用できるようにするには、ユーザーが各認証証明書ごとに構成や認証操作をする必要があります。 この認証操作を自動化するには、「鍵使用」プロパティーまたは「拡張鍵使用」プロパティーを使用してセッションを構成する必要があります。

鍵の使用の選択

このダイアログには、定義済みのすべてのオブジェクト ID (OID) の鍵の使用が表示されます。次のタブがあります。

• 「鍵使用」

  クライアント認証セッションで個人用証明書を適格に使用するために、鍵の使用証明書拡張子に設定する必要があるビットを選択できます。

• 拡張鍵使用

  クライアント認証セッションで個人用証明書を適格に使用するために、拡張された鍵の使用証明書拡張子にリストされる拡張された鍵の使用を選択できます。リスト項目は、オブジェクト ID (OID) (例えば、1.2.3.4) と一緒に記述 (例えば、クライアント認証) として表示されます。チェック・ボックスは、その項目が選択されたかどうかを示します。

共通記述と OID のペアが使用可能です。「拡張鍵使用の追加」をクリックして、さらに記述と OID のペアを追加することができます。

関連トピック

• TLS および SSL セキュリティーの動作
• TLS および SSL の構成
• クライアント認証