[SSL/TLS] タブ (FTP オプション)

表示方法 (FTP クライアント)

Secure Socket Layer (SSL) プロトコルと、その後に開発された Transport Layer Security (TLS) プロトコルにより、公衆通信回線を介して、クライアントとサーバ間で暗号化された安全な接続を確立できます。 SSL/TLS を使用した接続では、クライアント側でサーバを認証してから接続を確立し、Reflection 2008 とサーバ間でやり取りされる全データが暗号化されます。 サーバ構成によっては、サーバはクライアントの認証も行います。

次のオプションがあります。

 

[SSL/TLS セキュリティを使用する]

SSL/TLS 接続を使用します。このチェックボックスをオンにしてから、[SSL/TLS] タブ上のほかの値を設定してください。[SSL/TLS セキュリティを使用する] を選択すると、Reflection では、安全な SSL/TLS 接続が確立できる場合のみホストに接続します。

Reflection では、SSL/TLS 接続を確立する前にホストシステムを認証する必要があります。認証は電子証明書を使用して処理されます。これらの証明書は、インターネットトランザクションの安全性を守るための PKI (Public Key Infrastructure) に使用されているのと同じものです。ユーザのコンピュータは、ホストから提示された電子証明書を認識するように構成する必要があります。また、必要に応じて、クライアント認証のために証明書を提供するように設定する必要があります。コンピュータが正しく構成されていない場合、または認証で提示された証明書が無効な場合、SSL/TLS 接続を確立することはできません。ホストの証明書の発行方法によっては、証明書をローカルコンピュータにインストールする必要があります。

 

[PKI の構成]

[PKI の構成] ダイアログボックスを開きます。このダイアログボックスでは、Reflection SSL/TLS セッションの PKI 構成を指定できます。

 

[暗号化レベル]

SSL/TLS 接続の暗号化レベルを指定します。 実際の暗号化レベルが指定したとおりでないと接続は失敗します。

[既定] を選択するとすべての暗号化レベルが有効になりますが、Reflection はホストとクライアントの両方に設定可能な最強の暗号化レベルを、ホストシステムと交渉して選択します。 FIPS モードで実行していて [既定] を選択した場合、Reflection は FIPS 準拠の暗号化レベルのみを使用するようにホストシステムと交渉します。

 

[データストリームを暗号化する]

SSL/TLS 暗号化を使用するように FTP クライアントを構成したときに、データを暗号化するかどうかを指定します。このチェックボックスがオンになっている場合、コンピュータと FTP サーバの間の通信はすべて暗号化されます。このチェックボックスがオフの場合、FTP コマンドチャネル (ユーザ名およびパスワードを含め、すべての FTP コマンドで使用される) が暗号化されます。ただし、データチャネル (ディレクトリ一覧と転送するファイルのコンテンツに使用される) は暗号化されません。

 

[コマンドチャネルのクリア]

このオプションがオンの場合、FTP クライアントにより、ホストに CCC コマンドが送信されます。ホストがこのオプションに対応している場合、これによって、コマンドチャネルの暗号化だけがオフになります。

 

[SSL/TLS のバージョン]

SSL または TLS のどのバージョンを使用するかを指定します。 TLS バージョン 1.0 の方が新しいプロトコルです (既定)。

 

[証明書チェーンを取得し検証する]

ホスト認証において示される証明書が有効であり、信頼済みの CA によって署名されているかどうかを判断するため、チェックするかどうかを指定します。

警告:この設定をオフにすると、検証されていない証明書によるホスト認証が許可されるので、セキュリティリスクが生じてしまいます。

 

注意:証明書の検証は、SSL/TLS バージョンが TLS バージョン 1.0 (新しい、既定のプロトコル) に設定されている場合に必要になります。この設定をクリアにするには (証明書の検証が無効になる)、SSL/TLS バージョンを SSL バージョン 3.0 に設定する必要があります。

 

 

[黙示的 SSL/TLS 接続]

既定では、FTP クライアントは、黙示的なセキュリティを使用して SSL/TLS 接続を確立します。明示的なセキュリティは、SSL 接続を確立するのに、接続確立後に、FTP クライアントが特定のコマンド (AUTH TLS) を FTP サーバに発行することを要求します。サーバが成功応答を返すと、クライアントは TLS 交渉を開始します。既定の FTP サーバポート (21) が使用されます。

[黙示的 SSL/TLS 接続] を選択すると、Reflection FTP クライアントは黙示的セキュリティを使用します。黙示的セキュリティは、SSL 接続で FTP クライアントがサーバに接続した直後に自動的に開始され、TLS 交渉前に AUTH TLS コマンドは送信されません。

既定では、Reflection FTP クライアントは黙示的接続にポート 990 を使用します。

 

[NAT サーバ経由で接続する]

FTP クライアントが NAT (Network Address Translation) サーバ経由で接続する場合に、この設定をオンにします。この設定をオンにすると、FTP クライアントはサーバから返された FTP コマンドの IP アドレスを無視します。

 

[FIPS モードで実行する]

FIPS モードで実行している場合は、FIPS 140-2 仕様に準拠したセキュリティプロトコルおよびアルゴリズムがすべての通信で使用されます。このモードでは、一部の標準接続オプションが使用できません。 FIPS モードを使用して接続を行うと、FIPS モードアイコンがステータスバーに表示されます。

注意:[SSL/TLS] タブで [FIPS モードで実行] を選択すると、現在構成されている接続に対してのみ FIPS モードが適用されます。管理者は Reflection グループポリシーを使用して、すべての Reflection 接続に対して FIPS モードを適用できます。

Reflection セキュリティプロキシサーバの設定

[Reflection セキュリティプロキシを使用する] を有効にすると、Reflection は、Reflection for the Web のセキュリティプロキシを介してホストに接続します。 ホストで SSL/TLS 対応の Telnet サーバが実行されていない場合でも、このプロキシを使用して安全な接続を構成できます。 このような接続に対応するには、プロキシサーバをインストールして構成し、サーバを介して接続するすべてのワークステーションでサーバ証明書を提供する必要があります。 [セキュリティプロキシ] を使用して Reflection for the Web のセキュリティプロキシを実行しているホストを指定します。 [プロキシポート] を使用して Reflection プロキシサーバが受信を待っているポートを指定します。

注意:

  • セキュリティプロキシが使用されている場合、クライアントとプロキシサーバ間の接続は、SSL/TLS プロトコルを使用して保護され、暗号化されますが、プロキシサーバと接続先の間でやりとりされる情報は暗号化されません。
  • 許可を有効にして、Reflection for the Web のプロキシサーバ経由で接続するセッションを構成している場合、ユーザは、これらのセッションを使用して接続する前に、Reflection for the Web サーバにログオンする必要があります。