Per configurare le connessioni SSL o TLS utilizzando i protocolli di sicurezza aggiornati, utilizzare la procedura seguente.

Il protocollo SSL (Secure Sockets Layer) e il suo successore compatibile TLS (Transport Layer Security) consentono a un client e a un server di stabilire una connessione protetta e crittografata su una rete pubblica. Quando si effettua una connessione utilizzando SSL/TLS, il client autentica il server prima di effettuare la connessione e tutti i dati che passano fra EXTRA! e il server sono crittografati. In base alla configurazione del server, il server può anche autenticare il client.

L'autenticazione viene eseguita tramite l'invio di un certificato di protezione X.509. L'autenticazione avviene in maniera automatica e invisibile nella prima fase dell'esecuzione di una connessione SSL/TLS. Le connessioni SSL/TLS richiedono l'autenticazione del server da parte del client. L'autenticazione del client da parte del server è opzionale.

Dopo l'esecuzione di una connessione crittografata, i dati vengono trasmessi con il livello di crittografia specificato nella finestra di dialogo Proprietà di protezione di Reflection.

Algoritmi di crittografia supportati

Reflection supporta TLS versione 1.2, TLS versione 1.0 (predefinita) e SSL versione 3.0. I pacchetti di crittografia supportati sono elencati sotto.

Note:

TLS Versione 1.2 è disponibile a partire da Reflection 2014 e Client FTP Reflection 14.1 SP3.
L'elenco di pacchetti di crittografia supportati per una connessione specifica dipende dalla versione di SSL/TLS specificata, dalle impostazioni del livello di crittografia e dal fatto che sia configurata o meno per essere eseguita in modalità FIPS.

TLS_SRP_SHA_DSS_WITH_AES_256_CBC_SHA (0xc022)

TLS_SRP_SHA_RSA_WITH_AES_256_CBC_SHA (0xc021)

TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (0x00a3)

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f)

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006b)

TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a)

TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)

TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)

TLS_SRP_SHA_WITH_AES_256_CBC_SHA (0xc020)

TLS_DH_anon_WITH_AES_256_GCM_SHA384 (0x00a7)

TLS_DH_anon_WITH_AES_256_CBC_SHA256 (0x006d)

TLS_DH_anon_WITH_AES_256_CBC_SHA (0x003a)

TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)

TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)

TLS_SRP_SHA_DSS_WITH_3DES_EDE_CBC_SHA (0xc01c)

TLS_SRP_SHA_RSA_WITH_3DES_EDE_CBC_SHA (0xc01b)

TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x0016)

TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA (0x0013)

TLS_SRP_SHA_WITH_3DES_EDE_CBC_SHA (0xc01a)

TLS_DH_anon_WITH_3DES_EDE_CBC_SHA (0x001b)

TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

TLS_SRP_SHA_DSS_WITH_AES_128_CBC_SHA (0xc01f)

TLS_SRP_SHA_RSA_WITH_AES_128_CBC_SHA (0xc01e)

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (0x00a2)

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x0067)

TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)

TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)

TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)

TLS_SRP_SHA_WITH_AES_128_CBC_SHA (0xc01d)

TLS_DH_anon_WITH_AES_128_GCM_SHA256 (0x00a6)

TLS_DH_anon_WITH_AES_128_CBC_SHA256 (0x006c)

TLS_DH_anon_WITH_AES_128_CBC_SHA (0x0034)

TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)

TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)

TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

TLS_DH_anon_WITH_RC4_128_MD5 (0x0018)

TLS_RSA_WITH_RC4_128_SHA (0x0005)

TLS_RSA_WITH_RC4_128_MD5 (0x0004)

TLS_DHE_RSA_WITH_DES_CBC_SHA (0x0015)

TLS_DHE_DSS_WITH_DES_CBC_SHA (0x0012)

TLS_DH_anon_WITH_DES_CBC_SHA (0x001a)

TLS_RSA_WITH_DES_CBC_SHA (0x0009)

TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA (0x0014)

TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA (0x0011)

TLS_DH_anon_EXPORT_WITH_DES40_CBC_SHA (0x0019)

TLS_RSA_EXPORT_WITH_DES40_CBC_SHA (0x0008)

TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (0x0006)

TLS_DH_anon_EXPORT_WITH_RC4_40_MD5 (0x0017)

TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x0003)

TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff)

Nota: Per proteggere le connessioni con SSL o TLS, è necessario che il sistema includa un host SSL/TLS (uno o più server).

Per configurare la sessione

Creare una nuova sessione schermo (o stampante).
1. Dal menu Start, selezionare Attachmate EXTRA! e fare clic su Crea una nuova sessione. Oppure, se è già aperta una sessione, scegliere File> Nuova sessione.
2. In Nuova sessione guidata, rispondere alle richieste per selezionare il tipo di host e di sessione.
Per il tipo di connessione, specificare TN3270.
Nella finestra a schede, fare clic sul pulsante Aggiungi.
Nella finestra di dialogo Configura collegamento, specificare il nome dell'host o indirizzo IP (IPv6, IPv4 o URI), il tipo di dispositivo e la porta.
Per Tipo di sicurezza, scegliere l'opzione Attachmate TLS o SSL appropriata. Se si lascia Sicurezza della cifratura con l'impostazione predefinita (Auto), EXTRA! negozierà con l'host per scegliere il livello più alto di crittografia supportato dall'host e dal PC. La scelta di un valore maggiore di quello supportato dall'host o dal PC potrebbe impedire la connessione.
Per selezionare il certificato del client, eseguire una delle seguenti operazioni:
- Lasciare selezionata l'opzione Seleziona automaticamente il certificato del client (predefinita). Quando si esegue una connessione, EXTRA! effettua la ricerca nell'archivio certificati di Windows e utilizza il primo certificato che trova che sia valido e designato per l'autenticazione del client. Se il certificato non è corretto, la connessione non avviene.
- Scegliere un certificato dall'elenco a discesa o selezionare Sfoglia per aprire l'archivio dei certificati personali di Windows e scegliere il certificato appropriato. Il certificato specificato viene salvato nel file della sessione in base a nome dell'oggetto, emittente e numero di serie.
  Nota: Anche se è possibile che siano specificati più indirizzi host in una sessione di EXTRA! per una configurazione in fail-over, per un host è possibile specificare solo un certificato del client e un livello di crittografia. Per questa ragione è generalmente meglio utilizzare il certificato e le impostazioni del livello di crittografia predefiniti.
Per fare in modo che il client confronti il nome dell'host nella sessione con il nome comune nel certificato e convalidi la catena dell'autorità di certificazione (CA), selezionare Il nome host deve corrispondere al certificato.
Per assicurare che il certificato sia valido e non sia stato revocato, selezionare Utilizza CRL e/o Utilizza OCSP.
Specificare le opzioni rimanenti per completare la configurazione.
Per modificare le impostazioni di protezione, in una sessione aperta scegliere Opzioni > Impostazioni e, a sinistra, fare clic su Collegamento.

Connessione a un mainframe IBM mediante SSL/TLS

Informazioni su SSL/TLS

Algoritmi di crittografia supportati