[SSL/TLS] タブ ([セキュリティのプロパティ] ダイアログボックス)

表示方法 (Reflection)

表示方法 (FTP クライアント)

Secure Socket Layer (SSL) プロトコルと、その後に開発された Transport Layer Security (TLS) プロトコルにより、公衆通信回線を介して、クライアントとサーバ間で暗号化された安全な接続を確立できます。 SSL/TLS を使用した接続では、クライアント側でサーバを認証してから接続を確立し、Reflection とサーバ間でやり取りされる全データが暗号化されます。 サーバ構成によっては、サーバはクライアントの認証も行います。

次のオプションがあります。

 

[SSL/TLS セキュリティを使用する]

SSL/TLS 接続を使用します。このチェックボックスをオンにしてから、[SSL/TLS] タブ上のほかの値を設定してください。[SSL/TLS セキュリティを使用する] を選択すると、Reflection では、安全な SSL/TLS 接続が確立できる場合のみホストに接続します。

Reflection では、SSL/TLS 接続を確立する前にホストシステムを認証する必要があります。認証は電子証明書を使用して処理されます。これらの証明書は、インターネットトランザクションの安全性を守るための PKI (Public Key Infrastructure) に使用されているのと同じものです。ユーザのコンピュータは、ホストから提示された電子証明書を認識するように構成する必要があります。また、必要に応じて、クライアント認証のために証明書を提供するように設定する必要があります。コンピュータが正しく構成されていない場合、または認証で提示された証明書が無効な場合、SSL/TLS 接続を確立することはできません。ホストの証明書の発行方法によっては、証明書をローカルコンピュータにインストールする必要があります。

 

[PKI の構成]

[PKI の構成] ダイアログボックスを開きます。このダイアログボックスでは、Reflection SSL/TLS セッションの PKI 構成を指定できます。

 

[暗号化レベル]

SSL/TLS 接続の暗号化レベルを指定します。 実際の暗号化レベルが指定したとおりでないと接続は失敗します。

[既定] を選択するとすべての暗号化レベルが有効になりますが、Reflection はホストとクライアントの両方に設定可能な最強の暗号化レベルを、ホストシステムと交渉して選択します。 FIPS モードで実行していて [既定] を選択した場合、Reflection は FIPS 準拠の暗号化レベルのみを使用するようにホストシステムと交渉します。

 

[SSL/TLS のバージョン]

SSL または TLS のどのバージョンを使用するかを指定します。 TLS バージョン 1.0 の方が新しいプロトコルです (既定)。

 

[証明書チェーンを取得し検証する]

ホスト認証において示される証明書が有効であり、信頼済みの CA によって署名されているかどうかを判断するため、チェックするかどうかを指定します。注意:証明書の検証は、SSL/TLS バージョンが TLS バージョン 1.0 (新しい、既定のプロトコル) に設定されている場合に必要になります。この設定をクリアにするには (証明書の検証が無効になる)、SSL/TLS バージョンを SSL バージョン 3.0 に設定する必要があります。

警告:この設定をオフにすると、検証されていない証明書によるホスト認証が許可されるので、セキュリティリスクが生じてしまいます。

Reflection セキュリティプロキシサーバの設定

[Reflection セキュリティプロキシを使用] とその関連の設定は、Reflection Security Gateway (Attachmate から別途提供) を使用してセッションを管理している場合に、管理 WebStation から起動したセッションにのみ表示されます。これらのオプションを使用する場合、Reflection は <prod_web> に含まれる Reflection セキュリティプロキシを介してホストに接続します。このセキュリティプロキシを使用することにより、ホストで SSL/TLS 対応の Telnet サーバが実行されていない場合でも安全な接続を構成できます。

注意

  • セキュリティプロキシを使用する場合、クライアントとセキュリティプロキシサーバとの間の接続は SSL/TLS プロトコルを使用して保護され、暗号化されます。既定で、プロキシサーバと接続先ホストとの間で送信される情報は暗号化されません。[エンドツーエンド暗号化] オプション (5250、3270、VT セッションの場合に使用可能) を有効にしている場合は、セキュリティプロキシと接続先ホストとの間を送信される情報も暗号化されます([エンドツーエンド暗号化] では、ホストが SSL/TLS に対応していることが必要です)。
  • 認証が有効化されているセキュリティプロキシを介して接続するようにセッションを構成している場合、ユーザはそのセッションを使用して接続する前に Reflection Security Gateway サーバにログオンする必要があります。

 

 

[Reflection セキュリティプロキシを使用する]

サーバ接続の際に Reflection セキュリティプロキシを使用するようにセッションを構成します。

 

[セキュリティプロキシ]

使用可能なサーバを表示するドロップダウンリストからプロキシサーバ名を選択します。

 

[プロキシポート]

ドロップダウンリストからプロキシサーバのポートを選択します。

 

[接続先のホスト]

セキュリティプロキシでクライアント認証が有効化されている場合は、接続先ホストの名前を入力します。クライアント認証が有効化されていない場合は、このボックスは読み取り専用です。

セキュリティポートを選択した時に、そのポートを使用するように構成されている接続先ホストが自動的に表示されます。

 

[接続先のポート]

セキュリティプロキシでクライアント認証が有効化されている場合は、接続先ホストの名前を入力します。クライアント認証が有効化されていない場合は、このボックスは読み取り専用です。

セキュリティポートを選択した時に、接続先のポートと接続先のホストが自動的に表示されます。

 

[エンドツーエンド暗号化]

このオプションは、ホストへの直接的な SSL/TLS 接続のトンネルを作成します (この場合の接続も Reflection セキュリティプロキシサーバを経由します)。この接続には、2 つの証明書と、2 回の SSL/TLS ハンドシェイクが必要です。1 つはクライアントとプロキシサーバの接続のため、もう 1 つはクライアントとホストの接続のためです。

 

[プロキシの暗号スイート]

この Reflection プロキシホストとポートが対応する暗号スイートの読み取り専用の一覧です。この一覧は、製品が管理 WebStation (Reflection Security Gateway に含まれる) から起動された場合のみ表示されます。

関連項目

利用可能なプロトコル

SSL/TLS セッションでの電子証明書