v クライアント認証の場合には、「セキュリティーの設定」プロパティー・ページ で、「要求があれば個人証明書をサーバーに送信」を選択します。このオプショ ンが選択されていない場合は、サーバー側の認証だけが実行されます。サーバー がクライアント証明書を要求し、このオプションが選択されていない場合は、ア クティブな接続は確立されません。詳細については、63ページの『キー・データ ベースのオープンとルート証明書の追加』を参照してください。
Microsoft の証明書ストアで証明書を追加、除去、および表示するには、 Windows
の「コントロール パネル」で「インターネット オプション」を選択します。「コ ンテンツ」タブで「証明書」をクリックします。タブは、各種の Microsoft 証明書 ストアを表します。各タブに、それぞれのストア内にある証明書が表示されます。
セキュア・セッションの確立
ターゲット・サーバーとの事前接続の確立に際し、パーソナル・コミュニケーショ ンズ・クライアントは、そのサーバーから証明書を提示されます。クライアント証 明書の確認が使用可能になっている場合には、同様にユーザーの証明書もサーバー に提示されます。 CA のディジタル署名は、発行元 CA の公表されたルート 証明 書を使用して認証されます。クライアントは、提示された証明書上の特定の情報を 自動的に暗号化解除しますが、この時、CA のルート証明書にある公開 鍵を使用し ます。このステップは、提示された証明書が、保護された、固有の、対応する秘密 鍵 (CA のみが知っている) を使用して暗号化されたものである場合にのみ成功しま す。このプロセスは、データ回線で起こりうる意図的な変更 (偽造) および、まれに 起こる改ざんを検出し、拒否することができます。
パーソナル・コミュニケーションズでは、ユーザーがこの目的のために自己署名証 明書を使用することもできます。
この証明書発行者の認証ステップが成功すると、クライアントとサーバーは、この 後のデータ交換セッションで使用する暗号鍵についての合意を得るための交渉に入 ります。
パーソナル・コミュニケーションズのセッション・セキュリティー の構成
TN3270 セッション、TN5250 セッション、または VT セッションの構成を問わ
ず、基礎となるプロトコルは TCP/IP でなければなりません。セキュリティーを使 用可能にするには、以下の手順に従ってください。
1. 「Session Manager」からワークステーション・プロファイルを開始するか、ま たは、アクティブ・セッションで「通信」メニューから「構成」をクリックし ます。ダイアログ・ボックスが表示されたら、「構成」をクリックします。
2. 「通信カスタマイズ」パネルで、希望する Telnet ホストについての適切な「ホ スト・タイプ」、「インターフェース」および「接続」値を選択します。
3. 「リンク・パラメーター」をクリックします。
4. 「ホスト定義 (Host Definition)」プロパティー・ページで、次のように指定し ます。
a. 正規のホスト名と LU パラメーターを「1 次」の下に指定します。
b. 「1 次」の下にポート番号を指定します。これは Telnet のデフォルトのポ ート値でない可能性があります。宛先サーバーの管理者が、TLS/SSL サービ スを処理するために、特定のポート番号を設定している場合があります。
5. 「セキュリティーの設定」プロパティー・ページで、「セキュリティーの使用 可能」チェック・マークをオンにします。
サーバー認証だけの場合には、これ以外のセットアップは必要ありません。ク ライアント認証の場合は、次のステップに進みます。
6. 3270 セッションの場合、「Telnet 折衝」オプションを選択して、パーソナル・
コミュニケーションズが Telnet 3270 サーバーとセキュリティーについて折衝 するようにします。 詳細は、82ページの『折衝された Telnet のセキュリティ ー』を参照してください。「セキュリティーを使用可能にする」にチェックマ ークが付けられていない場合、「Telnet 折衝」オプションを選択することはで きません。
7. 「セキュリティーの設定」プロパティー・ページで、「IBM Global Security Kit (GSKit)」または「Microsoft CryptoAPI (MSCAPI)」セキュリティー・パ ッケージを選択します。
注: Microsoft 証明書ストアに手動でホスト証明書を追加する必要性を回避する
には、「ホスト証明書検証をパススルーする」を参照してください。
8. GSKit の場合は、「拡張」をクリックして、鍵リング・アクセス・パスワー
ド・オプションおよびスマート・カード・セットアップを制御することができ ます。
「鍵リング・アクセス (Key Ring Access)」グループ・ボックスで、キー・デー タベース・パスワード stash ファイルを使用するかどうかを選択することがで きます。キー・データベース stash ファイルを使用し、キー・データベース・
ファイルのパスワードの入力を求めるプロンプトを出さないようにする場合 は、「パスワード stash (STH) ファイルを使用」を選択します。このオプショ ンは、クライアント認証機能の有無にかかわらず、使用することができます。
スマート・カードを使用可能にするには、「暗号サポート」を選択します。
「セットアップ」をクリックし、モジュールおよびトークン情報を入力しま す。詳しくは、67ページの『GSKit でのスマート・カードのサポート』を参照 してください。
9. 「セキュリティー・プロトコル」ドロップダウン・リストから、セキュア・セ ッションのネゴシエーション用として、TLS プロトコルまたは SSL プロトコ ルを選択します。
「TLS」を選択した場合は、パーソナル・コミュニケーションズは、TLS プロ トコルを使用して、セキュア・セッションをネゴシエーションしようとしま す。サーバーが TLS をサポートしていない場合は、パーソナル・コミュニケー ションズは一段下の SSLv3 プロトコルを使用します。
「SSL のみ」を選択した場合、パーソナル・コミュニケーションズは、SSLv3 プロトコルを使用して、セキュア・セッションのネゴシエーションを試みま す。サーバー側が SSLv3 をサポートしていない場合は、パーソナル・コミュニ ケーションズは一段下の SSLv2 プロトコルを使用します。
10. TLS セキュリティーの場合は、「FIPS」(連邦情報処理標準) モードを選択する
ことができます。この動作が使用可能な場合は、FIPS 承認暗号のみが使用され ます。
GSKit の場合は、以下の FIPS 承認暗号スイートを使用することができます。
v TLS_RSA_WITH_DES_CBC_SHA v TLS_RSA_WITH_3DES_EDE_CBC_SHA v TLS_RSA_WITH_AES_128_CBC_SHA v TLS_RSA_WITH_AES_256_CBC_SHA
MSCAPI の場合は、以下の FIPS 承認暗号スイートを使用することができま
す。
v TLS_RSA_WITH_RC4_128_SHA v TLS_RSA_WITH_DES_CBC_SHA v TLS_RSA_WITH_3DES_EDE_CBC_SHA
v TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA v TLS_RSA_EXPORT1024_WITH_RC4_56_SHA 注:
Windows Vista、Windows 7、および Windows Server 2008 で MSCAPI を使用 して AES サポートを有効にするには、次の手順を実行してください。
a. 管理者アカウントから、「グループ ポリシー エディタ」 (gpedit.msc) を開 きます。
b. 「コンピュータの構成」->「管理用テンプレート」-> 「ネットワー ク」->「SSL 構成設定 (SSL Configuration Settings)」を選択します。
c. 「SSL 暗号スイートの順序 (SSL Cipher Suite Order)」を開き、「有効」
を選択します。
d. 暗号の順序を組織の必要性に応じて変更して、変更を保存し、システムをリ ブートして上記の変更を適用します。
ここで重要なのは、クライアントは、サーバーに優先順位付けされた暗号リス トを提示のみ行えることに注意することです。セッションの暗号として選択す る内容の最終決定権は、ホストにあります。特定のビット長のアルゴリズムを 選択するとき、重要な考慮事項の 1 つに、暗号化と復号化は、 CPU に集中し た操作であり、鍵のサイズに応じた時間がかかるという点があります。ほぼす べての場合、128 ビットの鍵は、Telnet 接続で交換している情報を保護するに は十分です。
11. サーバー名とホストまたはサーバーの証明書名を突き合わせることによりセッ ションでサーバーを認証するには、「サーバー名と証明書名の一致を検査
(Check for Server Name and Certificate Name Match)」をオンにします。サ ーバー名と証明書名は正確に一致する必要があります。 MSCAPI セッション で、証明書名とサーバー名が一致しない場合は、エラーが戻されます。 GSKit セッションで、ホスト証明書名と接続先のホストの名前が一致しない場合は、
セッションが終了します。
12. 「クライアント認証」グループ・ボックスで、サーバーに送信するクライアン ト証明書の選択の時期と方法を指定します。
クライアント認証を使用可能にし、要求されたときにキー・データベース・フ ァイルから個人クライアント証明書をサーバーに送信させたい場合には、「要 求があれば個人証明書をサーバーに送信」をチェックします。
サーバーによって信頼された個人証明書を送信
キー・データベース・ファイルから個人クライアント証明書を選択する ことを求めるプロンプトを出さない場合は、このオプションを選択しま す。パーソナル・コミュニケーションズは、サーバーによって承認され た個人クライアント証明書を送信します。
鍵使用に基づいて個人証明書を送信 (Send Personal Certificate based on Key
Usage) 1 つ以上の鍵使用を選択する場合は、このオプションを使用します。
「鍵使用 (Key Usage)」をクリックし、定義されているオブジェクト
ID (OID) の鍵使用を選択します。新しい OID と説明をリストに追加
する場合は、「拡張鍵使用 (Extended Key Usage)」パネルに進みま す。
認証時に、パーソナル・コミュニケーションズは、選択されている鍵使 用に基づいて、クライアント認証用の証明書を選択します。証明書の拡 張鍵使用属性に、指定した OID が 1 つ以上含まれている場合、その 証明書は使用に適しています。
適している証明書が見つからない場合、認証は失敗します。適している 証明書が 1 つ見つかった場合は、その証明書が自動的に使用されま す。適している証明書が 2 つ以上見つかった場合は、個人クライアン ト証明書の選択を求めるプロンプトが表示されます。
個人クライアント証明書を選択またはプロンプトを表示 (Select or Prompt for Personal Client Certificate)
個人クライアント証明書を選択したい場合は、このオプションを使用し ます。サーバーがクライアント証明書を要求する場合は、セッション確 立時に個人クライアント証明書の選択を求めるプロンプトが表示されま す。
構成時に個人クライアント証明書を事前選択するには、「即時選択」を クリックし、「個人証明書ラベル (Personal Certificate Label)」を選択 します。
ホスト証明書検証をパススルーする
このオプションを使用して、SSL/TLS ハンドシェーク中にデフォルト の証明書検証プロセスを無効にします。Microsoft Schannel プロバイダ ーのみに有効です。
注: デフォルトでは、Schannel (MSCAPI) は、SSL/TLS ハンドシェーク 中に受信されたホスト証明書チェーンの検証の役割を果たしていま