Z and I Emulator for Windows のセッション・セキュリティーの構成

TN3270 セッション、TN5250 セッション、または VT セッションの構成を問わず、 基礎となるプロトコルは TCP/IP でなければなりません。セキュリティーを使用可能にするには、以下の手順に従ってください。
  1. 「Session Manager」からワークステーション・プロファイルを開始するか、 または、アクティブ・セッションでConfigure from the Communication menuをクリックします。ダイアログ・ボックスが表示されたら、「構成」をクリックします。
  2. 「通信カスタマイズ」パネルで、希望する Telnet ホストについての適切な 「ホスト・タイプ」、「インターフェース」および「接続」値を選択します。
  3. 「リンク・パラメーター」をクリックします。
  4. 「ホスト定義」property pageで、次のように指定します。
    1. 正規のホスト名と LU パラメーターを「1 次」の下に指定します。
    2. 「1 次」の下にポート番号を指定します。これは Telnet のデフォルトのポート値でない可能性があります。宛先サーバーの管理者が、TLS/SSL サービスを処理するために、特定のポート番号を設定している場合があります。
  5. 「セキュリティーの設定」property pageで、「セキュリティーの使用可能」チェック・マークをオンにします。

    サーバー認証だけの場合には、これ以外のセットアップは必要ありません。クライアント認証の場合は、次のステップに進みます。

  6. 3270 セッションの場合、「Telnet 折衝」オプションを選択して、Z and I Emulator for Windowsが Telnet 3270 サーバーとセキュリティーについて折衝するようにします。詳しくは、折衝された Telnet のセキュリティーを参照してください。「セキュリティーを使用可能にする」にチェックマークが付けられていない場合、「Telnet 折衝」オプションを選択することはできません。
  7. 「セキュリティーの設定」property pageで、「Microsoft CryptoAPI (MSCAPI)」セキュリティー・パッケージを選択します。
    注: Microsoft 証明書ストアに手動でホスト証明書を追加する必要性を回避するには、「ホスト証明書検証をパススルーする」を参照してください。
  8. RC4 ストリーム暗号でのセキュリティー脆弱性に対して保護を行うために、FIPS (Federal Information Processing Standard) モードが必須になっています。

    MSCAPI の場合、最新情報については、ベンダーの資料を参照してください。

    注: Windows 8、Windows 8.1、Windows 10、Windows Server 2008、および Windows Server 2012 で MSCAPI とともに AES を有効にするには、以下の手順に従ってください。
    1. 管理者アカウントから、「グループ・ポリシー・エディター」 (gpedit.msc) を開きます。
    2. 「コンピュータの構成」->「管理用テンプレート」-> 「ネットワーク」->「SSL 構成設定」を選択します。
    3. 「SSL 暗号スイートの順序」を開き、「有効」を選択します。
    4. 暗号の順序を組織の必要性に応じて変更して、変更を保存し、システムをリブートして上記の変更を適用します。
    ここで重要なのは、クライアントは、サーバーに優先順位付けされた 暗号リストを提示のみ行えることに注意することです。セッションの暗号 として選択する内容の最終決定権は、ホストにあります。特定のビット長の アルゴリズムを選択するとき、重要な考慮事項の 1 つに、暗号化と復号化は、 CPU に集中した操作であり、鍵のサイズに応じた時間がかかるという点があります。ほぼすべての場合、128 ビットの鍵は、Telnet 接続で交換している情報を 保護するには十分です。
  9. サーバー名とホストまたはサーバーの証明書名を突き合わせることによりセッションでサーバーを認証するには、「サーバー名と証明書名の一致を検査」をオンにします。サーバー名と証明書名は正確に一致する必要があります。MSCAPI セッションで、証明書名とサーバー名が一致しない場合は、 エラーが戻されます。
  10. 「クライアント認証」グループ・ボックスで、 サーバーに送信するクライアント証明書の選択の時期と方法を指定します。

    クライアント認証を使用可能にし、 要求されたときにキー・データベース・ファイルから個人クライアント証明書をサーバーに送信させたい場合には、「要求があれば個人証明書をサーバーに送信」をチェックします。

    サーバーによって信頼された個人証明書を送信
    キー・データベース・ファイルから個人クライアント証明書を選択することを求めるプロンプトを出さない場合は、 このオプションを選択します。Z and I Emulator for Windowsは、サーバーによって承認された個人クライアント証明書を送信します。
    鍵使用に基づいて個人証明書を送信 (Send Personal Certificate based on Key Usage)
    1 つ以上の鍵使用を選択する場合は、このオプションを使用します。「鍵使用」をクリックし、 定義されているオブジェクト ID (OID) の鍵使用を選択します。新しい OID と説明をリストに追加する場合は、「拡張鍵使用」パネルに進みます。

    認証の時点で、選択された鍵使用に基づいて、Z and I Emulator for Windows はクライアント認証用の証明書を選択します。証明書の「拡張鍵使用」属性にユーザーが指定した 1 つ以上の OID が含まれている場合、その証明書は適格に使用できます。

    適している証明書が見つからない場合、認証は失敗します。適している証明書が 1 つ見つかった場合は、その証明書が自動的に使用されます。適している証明書が 2 つ以上見つかった場合は、 個人クライアント証明書の選択を求めるプロンプトが表示されます。

    個人クライアント証明書を選択またはプロンプトを表示 (Select or Prompt for Personal Client Certificate)
    個人クライアント証明書を選択したい場合は、このオプションを使用します。サーバーがクライアント証明書を要求する場合は、 セッション確立時に個人クライアント証明書の選択を求めるプロンプトが表示されます。

    構成時に個人クライアント証明書を事前選択するには、「即時選択」をクリックし、「個人証明書ラベル」を選択します。

    ホスト証明書検証をパススルーする
    このオプションを使用して、TLS ハンドシェーク中にデフォルトの証明書検証プロセスを無効にします。Microsoft schannel プロバイダーのみに有効です。
    注: デフォルトでは、schannel (MSCAPI) は、TLS ハンドシェーク中に 受信されたホスト証明書チェーンの検証の役割を果たしています。Schannel は、受信された証明書チェーンでいくつかの検査を行い、その 1 つによって、証明書 に付けられたシグニチャーが有効であるかどうか、つまり、証明書のコンテンツで 計算されたハッシュ値が、発行者のパブリック・コンポーネントを使用した シグニチャー・フィールドの復号化の結果発生する値と一致しているかどうかが 検証されます。この操作を実行するには、ユーザーは一部の統合が保障された チャネルを通じて、または別の (検証された) 証明書から抽出することによって、iss のパブリック・コンポーネントを取得している必要があります。デフォルトの証明書の有効な プロセスは、負荷が高く、検証を正常に実行するために、ホストの証明書チェーン でいくつかの検証を行います。ユーザーは、このオプションを有効にすることに よって、Schannel によって行われるデフォルトの検証を事実上抑止することになり、 ホストの ID は検証されません。このオプションの使用は推奨されません。
親トピック: セキュア・ソケット・レイヤーの構成と使用