Transport Layer Security (TLS) と Secure Sockets Layer (SSL) はそれぞれ異なる通信プロトコルです。 この 2 つのプロトコルにより、アプリケーションはデータ暗号化を使用してインターネット経由で安全に通信することができます。TLS は SSL を基にしていますが、SSL とは異なる初期ハンドシェーク・プロトコルを持ち、SSL より拡張性に富んでいます。TLS と SSL に相互運用性はありません。すなわち、TLS を使用しているアプリケーションは、SSL を実行しているアプリケーションとは通信できません。これらのプロトコルは共に広く使用されています。
Telnet 折衝 (3270 ディスプレイ/プリンター、VT セッションのみ)Telnet 折衝 (3270 ディスプレイ/プリンター、VT セッションのみ)
クライアントと Telnet サーバーとの間のセキュリティー折衝が確立済みの Telnet 接続で行われるか、 それとも Telnet 折衝の前に TLS 接続で行われるかを決定します。クライアントがこの機能を使用するには、Telnet サーバーが TLS ベースの Telnet セキュリティーをサポートしなければなりません。他のオプションは、Telnet 折衝が「はい」に設定されているか、 「いいえ」に設定されているかに関係なく有効です。
サーバー認証
サーバーのインターネット名がサーバーの証明書の中の共通名と一致した場合にのみセキュア・セッションが確立されるようにします。これは、ローカルにインストールされたクライアントまたは HTTPS 経由でダウンロードされたクライアントのみで有効です。
MSIE ブラウザーの鍵リングの追加
このオプションが選択されると、Z and I Emulator for Web クライアントは、Microsoft Internet Explorer ブラウザーが信頼している認証局を受け入れます。
以下のオプションは、クライアント認証の扱い方を指定するために使用されるものです。
証明書の送信
クライアント認証を使用可能にします。 「いいえ」をクリックして、サーバーがクライアント証明書を要求すると、クライアント証明書を入手できないことがサーバーに通知され、ユーザーはプロンプトを受け取りません。
証明書ソース
クライアントのブラウザーやスマート・カードなどの専用セキュリティー・デバイスに証明書を保存できます。
あるいは、パスワードによって保護されるローカルまたはネットワーク・アクセス・ファイル () に保存することができます。
URL またはパスとファイル名
クライアント証明書のデフォルト位置を指定します。使用できる URL プロトコルは、 使用しているブラウザーの 機能によって異なる。たいていのブラウザーは、 HTTP、 HTTPS、 FTP、 および FTPS をサポートする。
ファイルの選択
ローカル・ファイル・システムをブラウズして証明書を含んだファイルを選択するには、「ファイルの選択」をクリックします。
設定
「暗号サポートのセットアップ」ダイアログを開きます。そこでは、Z and I Emulator for Web で Linux (32 ビット Intel プラットフォーム) でのクライアント認証にスマート・カードを使用するためのパラメーターを指定できます。 このボタンはすべてのプラットフォームでアクセス可能であるので、管理者は、Linux クライアントについてユーザーが使用する暗号モジュール名を設定できます。ただし、ユーザーがこの暗号トークンに接続する際はパスワードを入力する必要があります。
 |
Z and I Emulator for Web で Linux のスマート・カードを処理する場合には、 スマート・カード・ドライバーとそのドライバー用の PKCS11 ライブラリーのインストールに加えて、ダッシュボード・ページから PKS11 ライブラリーをダウンロードし、LD_LIBRARY_PATH 環境変数を設定して共用ライブラリーが入っているディレクトリーも含める必要があります。 |
|
このボタンが使用可能なのは、ブラウザーまたはセキュリティー・デバイス・オプションが証明書ソースとして選択されている場合だけです。 |
クライアントがユーザーのスマート・カード、ブラウザー、または p12 ファイルの認証証明書を認識して利用できるようにするには、ユーザーが各認証証明書ごとに構成や認証操作をする必要があります。 この認証操作を自動化するには、「鍵使用」プロパティーまたは「拡張鍵使用」プロパティーを使用してセッションを構成する必要があります。
鍵の使用の選択
このダイアログには、定義済みのすべてのオブジェクト ID (OID) の鍵の使用が表示されます。次のタブがあります。
クライアント認証セッションで個人用証明書を適格に使用するために、鍵の使用証明書拡張子に設定する必要があるビットを選択できます。
クライアント認証セッションで個人用証明書を適格に使用するために、拡張された鍵の使用証明書拡張子にリストされる拡張された鍵の使用を選択できます。リスト項目は、オブジェクト ID (OID) (例えば、1.2.3.4) と一緒に記述 (例えば、クライアント認証) として表示されます。チェック・ボックスは、その項目が選択されたかどうかを示します。
共通記述と OID のペアが使用可能です。「拡張鍵使用の追加」をクリックして、さらに記述と OID のペアを追加することができます。
証明書名
リストから証明書を選択します。サーバーによって信頼された証明書を受け入れることもできます。
証明書名の追加
クライアント証明書を選択するためのパラメーター (証明書を定義するために使用される共通名、電子メール・アドレス、 組織単位、および組織などを含む) を指定するには、「名前の追加」をクリックします。(このボタンは、管理者の構成パネルのみで使用できます。)
プロンプトを出す頻度
このドロップダウン・ボックスでは、クライアント証明書のプロンプトを出す頻度を制御できます。クライアントの証明書ソースは、使用可能なプロンプトの選択を決定します。次の 2 つの選択項目を定数とみなすことができます。これらは、証明書ソースに関係なく常に使用可能です。
証明書ソースがブラウザーまたはセキュリティー・デバイスの場合には、追加の 2 つのオプションがあります。
| 現在、これは Microsoft Internet Explorer の場合にのみ当てはまります。 |
証明書ソースが URL またはローカル・ファイルで、クライアントが ユーザー設定をローカルに保管している場合には、2 つの追加オプションがあります。
証明書ソースが URL またはローカル・ファイルで、クライアントがユーザー設定をローカルに保管 しない場合には、追加の 1 つのオプションがあります。
接続前の証明書の検索
「はい」をクリックすると、サーバーが証明書を要求しているかどうかに関わらず、クライアントはサーバーに接続する前に証明書にアクセスします。「いいえ」をクリックすると、クライアントが証明書にアクセスするのはサーバーが要求した後だけです。他の設定によっては、クライアントがサーバーへの接続を強制的に異常終了し、ユーザーにプロンプトを出し、それから再接続することがあります。
ロック (Z and I Emulator for Web 管理者のみ)
ユーザーがセッションに関連した始動値を変更できないようにするには、「ロック」を選択します。ほとんどのフィールドは使用不可になっていて、ユーザーが値を変更することはできません。ただし、セッション・メニュー・バーまたはツールバーからアクセスした機能は変更できます。
JSSE を使用
このオプションを有効にすると、Java Secure Socket Extension (JSSE) を使用する TLS v1.0、TLS v1.1、および TLS v1.2 による安全な接続が可能になります。このオプションを使用するには、JRE (IBM または Oracle) のバージョンが V7 以降でなければなりません。JRE V6 以前では、JSSE を使用するようにセッションを構成することは可能ですが、JSSE ベースのセッションは JRE V7 以降でのみ動作します。
TLS
必要に応じて TLS v1.0、TLS v1.1、または TLS v1.2 を選択します。これらのオプションのいずれかが選択されると、TLS v1.0 より下位のバージョンのプロトコルのすべてが有効になります。このオプションはデフォルトで有効になっていて、TLSv1.2 が選択されています。
FIP モード
SSLite モジュールが使用されている場合、このオプションを有効にすると、ZIEWeb に FIPS 140-2 準拠の暗号モジュールを使用させることができます。
注: このオプションは、「JSSE を使用」オプションが有効になっている場合、セッション・レベルでは無効です。jks トラストストアを持つ IBM Java および JSSE を使用している場合、デフォルトで「FIPS モード」が有効になっています。これは、HTML パラメーター値「FipsMode」を false に設定することによって無効にできます。