Verbindungsaufbau über SSL/TLS

Mit dem SSL-Protokoll (Secure Sockets Layer) und dessen kompatibler Weiterentwicklung, dem TLS-Protokoll (Transport Layer Security) kann zwischen einem Client und einem Server über ein öffentliches Netzwerk eine sichere, verschlüsselte Verbindung hergestellt werden. Vor dem Verbindungsaufbau per SSL/TLS muss der Client zunächst den Server authentifizieren. Außerdem werden alle zwischen Reflection und dem Server übertragenen Daten verschlüsselt. Je nach Serverkonfiguration kann der Server auch den Client authentifizieren.

Reflection 2011 unterstützt SSL/TLS-Verbindungen für IBM 3270-, IBM 5250- und VT-Terminals.

Hinweis: Für die Authentifizierung von SSL-/TLS-Verbindungen werden digitale Zertifikate verwendet. Je nach Hostkonfiguration und Art der Ausstellung Ihres Zertifikats müssen Sie möglicherweise ein Host- und/oder persönliches Zertifikat installieren, bevor Sie eine SSL-/TLS-Verbindung herstellen können.

Bevor Sie beginnen

Stellen Sie sicher, dass Ihr System über einen SSL/TLS-Host (Server) verfügt, und machen Sie sich damit vertraut, wie Zertifikate für Ihren Server behandelt werden (siehe SSL/TLS-Verbindungen).

Die folgenden Anweisungen enthalten die erforderlichen Schritte zur Konfiguration einer Verbindung für einen Host, der eine Serverauthentifizierung erfordert (jedoch keine Clientauthentifizierung) und ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) verwendet.

Diese Vorgehensweise enthält die Schritte zum Importieren des Zertifikats in den Reflection-Zertifikatspeicher. Zur Einrichtung dieser Verbindung benötigen Sie Folgendes:

  • Den SSL/TLS-Hostnamen.
  • Benutzernamen und das zugehörige Kennwort.
  • Den vom SSL-/TLS-Server verwendeten Anschluss.
  • Zugriff auf ein Zertifikat für den Server.

So konfigurieren Sie eine sichere Terminalsitzung mit dem SSL-/TLS-Protokoll

  1. Klicken Sie in der Schnellzugriffsleiste auf die Schaltfläche Neues Dokument Speichern.
  2. Wählen Sie im Dialogfeld Neues Dokument erstellen eine Sitzungsvorlage aus, und klicken Sie auf Erstellen.
  3. Geben Sie unter Hostname/IP-Adresse den vollständig qualifizierten Hostnamen ein.

    Hinweis: Standardmäßig muss der eingegebene Hostname genau mit einem der im Feld CommonName oder SubjectAltName für das Hostzertifikat festgelegten Hostnamen übereinstimmen. Das Kontrollkästchen Name des Zertifizierungshosts muss mit dem des angesprochenen Hosts übereinstimmen befindet sich im Dialogfeld PKI konfigurieren. Es sollte aus Sicherheitsgründen aktiviert bleiben.

  4. Geben Sie im Feld Anschluss den Anschluss an, den der Host für SSL-/TLS-Verbindungen verwendet. In den meisten Fällen sollte es erforderlich sein, den Standardwert für den Anschluss zu ändern. Fragen Sie den für den Host zuständigen Systemadministrator nach dieser Angabe. (Für SSL-/TLS-Verbindungen zu einem AS/400-System wird in der Regel Anschluss 992 verwendet.)
  5. Aktivieren Sie das Kontrollkästchen Zusätzliche Einstellungen konfigurieren, und klicken Sie auf OK.
  6. Wählen Sie eine der folgenden Möglichkeiten:
  • Wenn Sie eine 3270- und eine 5250-Terminalsitzung einrichten, klicken Sie unter Hostverbindung auf Verbindungssicherheit einrichten. Klicken Sie anschließend im Dialogfeld Erweiterte Verbindungseinstellungen konfigurieren auf Sicherheitseinstellungen.
  • Wenn Sie eine VT-Terminalsitzung einrichten, klicken Sie auf Verbindungseinstellungen konfigurieren, überprüfen Sie, ob der Netzwerkverbindungstyp auf Telnet festgelegt ist, und klicken Sie dann auf die nach links weisende Pfeilschaltfläche. Klicken Sie unter Hostverbindung auf Verbindungssicherheit einrichten.
  1. Klicken Sie im Dialogfeld Sicherheitseigenschaften auf die Registerkarte SSL/TLS, und aktivieren Sie das Kontrollkästchen SSL-/TLS-Sicherheit verwenden.
  2. (Optional) Um die zulässige Mindestverschlüsselung für SSL/TLS-Verbindungen festzulegen, wählen Sie einen Grad aus der Liste Verschlüsselungsgrad aus. Wenn dieser Verschlüsselungsgrad nicht gegeben ist, kann die Verbindung nicht hergestellt werden.

    Hinweis: Wenn Sie die Option <Standard> wählen, sind alle Verschlüsselungsgrade zulässig, und Reflection ermittelt zusammen mit dem Hostsystem den höchsten Verschlüsselungsgrad, der sowohl vom Host als auch vom PC unterstützt wird.

  3. (Optional) Klicken Sie auf PKI konfigurieren.

    Daraufhin wird das Dialogfeld PKI konfigurieren aufgerufen, in dem Sie die für die Authentifizierung erforderlichen digitalen Zertifikate verwalten können.

    1. Klicken Sie auf Reflection-Zertifikatmanager.
    2. Im Dialogfeld Reflection-Zertifikatmanager wählen Sie die Registerkarte Zuverlässige Zertifizierungsstellen.
    3. Klicken Sie auf Importieren, und suchen Sie das Zertifikat der Zertifizierungsstelle für den Server.
    4. Ändern Sie die Standardeinstellungen nach Bedarf. (Um beispielsweise nur den Reflection-Speicher zu verwenden, können Sie die Option Systemzertifikatspeicher bei SSL/TLS-Verbindungen benutzen deaktivieren. Wenn diese Option ausgewählt ist, sucht Reflection sowohl im Reflection-Speicher als auch im Windows-Zertifikatspeicher nach Zertifkaten.)

      Beim Anpassen einer beliebigen Standard-PKI-Einstellung wird die pki_config-Datei erstellt.

    5. Schließen Sie das Dialogfeld Zertifikatmanager, und klicken Sie zum Schließen der anderen offenen Dialogfelder auf OK.

      Das importierte Zertifkat wird in der trust_store.p12-Datei gespeichert.

    6. Nachdem eine Verbindung hergestellt wurde, klicken Sie in der Schnellzugriffsleiste auf Speichern, um das Sitzungsdokument zu speichern.

  4. Klicken Sie mehrfach auf OK, um die geöffneten Dialogfelder zu schließen und zum Arbeitsbereich zurückzukehren.

Verwandte Themen

Überblick über SSL/TLS

Digitale Zertifikate in SSL/TLS-Sitzungen

Beheben von SSL-/TLS-Fehlern

Registerkarte "SSL/TLS" (Dialogfeld "Sicherheitseigenschaften")

FIPS-Modus

Konfigurieren von SSL/TLS (FTP-Client)