Mit dem SSL-Protokoll (Secure Sockets Layer) und dessen kompatibler Weiterentwicklung, dem TLS-Protokoll (Transport Layer Security) kann zwischen einem Client und einem Server über ein öffentliches Netzwerk eine sichere, verschlüsselte Verbindung hergestellt werden. Vor dem Verbindungsaufbau per SSL/TLS muss der Client zunächst den Server authentifizieren. Außerdem werden alle zwischen dem Client und dem Server übertragenen Daten verschlüsselt. Je nach Serverkonfiguration kann der Server auch den Client authentifizieren.
|
SSL-/TLS-Sicherheit verwenden |
Ermöglicht den Verbindungsaufbau per SSL/TLS. Sie müssen dieses Kontrollkästchen aktivieren, bevor Sie weitere Optionen auf dieser Registerkarte konfigurieren können. Wenn SSL-/TLS-Sicherheit verwenden aktiviert ist, werden Verbindungen mit dem Host nur hergestellt, wenn eine sichere SSL/TLS-Verbindung möglich ist. Vor dem Verbindungsaufbau muss der Client den Host authentifizieren. Die Authentifizierung erfolgt mit digitalen Zertifikaten. Diese Zertifikate gehören zur selben PKI (Public Key Infrastructure, Infrastruktur öffentlicher Schlüssel), die für sichere Internet-Transaktionen verwendet wird. Ihr Computer muss so konfiguriert sein, dass er das digitale Zertifikat von Ihrem Host erkennt und gegebenenfalls ein Zertifikat für die Clientauthentifizierung bereitstellt. Wenn Ihr Computer nicht richtig konfiguriert ist oder wenn die Authentifizierungszertifikate nicht gültig sind, können Sie keine SSL/TLS-Verbindungen herstellen. Je nachdem, wie das Hostzertifikat ausgegeben wurde, müssen Sie eventuell ein Zertifikat auf dem lokalen Computer installieren. |
|
PKI konfigurieren |
Öffnet das Dialogfeld PKI konfigurieren, in dem Sie PKI-Einstellungen für SSL/TLS-Sitzungen konfigurieren können. |
|
Verschlüsselungsgrad |
Gibt die gewünschte Verschlüsselungsebene für SSL/TLS-Verbindungen an. Die Verbindung wird nicht aufgebaut, wenn diese Ebene nicht verfügbar ist. Wenn Sie die Option Standard auswählen, sind alle Verschlüsselungsebenen zulässig, und Ihr Client handelt mit dem Hostsystem die höchste Verschlüsselungsebene aus, die sowohl vom Host als auch vom Client unterstützt wird. Wenn Sie die Option Standard im FIPS-Modus auswählen, werden ausschließlich FIPS-kompatible Verschlüsselungsebenen berücksichtigt. HINWEIS:Der effektive Verschlüsselungsgrad der hergestellten Verbindung entspricht unter Umständen nicht dem hier ausgewählten Wert. Bei der 168-Bit-Verschlüsselung werden beispielsweise 3DES-Verschlüsselungsverfahren verwendet, die eine Schlüssellänge von 168 Bit aufweisen, jedoch nur eine effektive Sicherheit von 112 Bit bieten. |
|
SSL/TLS |
Gibt die zu verwendende SSL- bzw. TLS-Version an. |
|
Zertifikatskette abrufen und validieren |
Gibt an, ob die für die Hostauthentifizierung gesendeten Zertifikate geprüft werden, um festzustellen, ob sie gültig sind und von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden. VORSICHT:Wenn Sie diese Option deaktivieren, besteht für Verbindungen die Gefahr eines "Man-in-the-Middle"-Angriffs, bei dem die Sicherheit der Verbindung gefährdet werden kann. |
|
Implizite SSL/TLS-Verbindung |
IBM z/VM- oder z/OS Telnet-Server können so konfiguriert werden, dass sie beim Aushandeln von sicheren SSL/TLS-Verbindungen den Befehl STARTTLS senden. Um eine Verbindung zu den Servern herzustellen, die zum Senden dieses Befehls konfiguriert sind, wählen Sie diese Option ab. Um eine Verbindung zu den Servern herzustellen, die nicht zum Senden dieses Befehls konfiguriert sind, lassen Sie diese Option aktiviert. Diese Option muss für Server, für die STARTTLS erforderlich ist, deaktiviert werden. Ist die Option ausgewählt, werden sichere Verbindungen zu Servern, die den Befehl STARTTLS senden, nicht unterstützt. |
Sie können Einstellungen unter Reflection-Sicherheitsproxy verwenden verwenden, wenn Sie einen Server für die zentralisierte Verwaltung (als separate Komponente von Micro Focus verfügbar) zur Verwaltung von Sitzungen verwenden und die aktuelle Sitzung über Administrative WebStation gestartet haben. Mit diesen Optionen wird in Ihrer Sitzung eine Verbindung mit Ihrem Host über den im Server für die zentralisierte Verwaltung enthaltenen Reflection-Sicherheitsproxy hergestellt. Mithilfe dieses Sicherheitsproxys können Sie auch dann sichere Verbindungen konfigurieren, wenn auf dem Host kein SSL/TLS-fähiger Telnet-Server ausgeführt wird. (Einige dieser Einstellungen sind nur bei Verwendung von Administrative WebStation sichtbar.)
HINWEIS:
Bei Verwendung des Sicherheitsproxys wird die Verbindung zwischen dem Client und dem Sicherheitsproxyserver mithilfe des SSL/TLS-Protokolls geschützt und verschlüsselt. Standardmäßig werden die Informationen zwischen dem Proxyserver und dem Zielhost unverschlüsselt ausgetauscht. Wenn Sie die Option Durchgehende Verschlüsselung (verfügbar für 5250-, 3270- und VT-Sitzungen) aktivieren, werden diese Informationen auch verschlüsselt. (Für die Option Durchgehende Verschlüsselung ist es erforderlich, dass der Host SSL/TLS unterstützt.)
Wenn Sie Sitzungen konfigurieren, die bei aktivierter Autorisierung eine Verbindung über den Sicherheitsproxy herstellen, müssen sich die Benutzer zunächst beim Server für die zentralisierte Verwaltung anmelden, bevor eine Verbindung über diese Sitzungen hergestellt werden kann.
|
Reflection-Sicherheitsproxy verwenden |
Mit dieser Option konfigurieren Sie die Sitzung für die Verwendung des Sicherheitsproxys für die Serververbindung. |
|
Sicherheitsproxy |
Wählen Sie den Namen des Proxyservers aus der Dropdownliste mit den verfügbaren Servern aus. |
|
Proxyanschluss |
Wählen Sie den Proxyserveranschluss aus der Dropdownliste aus. |
|
Ziel-Host |
Wenn die Clientautorisierung auf dem Sicherheitsproxy aktiviert ist, geben Sie den Namen des Zielhosts ein. Wenn die Autorisierung nicht aktiviert ist, ist dieses Feld schreibgeschützt. Wenn Sie einen Sicherheitsanschluss wählen, wird der Ziel-Host, der für die Verwendung dieses Anschlusses konfiguriert ist, automatisch angezeigt. |
|
Zielanschluß |
Wenn die Clientautorisierung auf dem Sicherheitsproxy aktiviert ist, geben Sie den Zielanschluss ein. Wenn die Autorisierung nicht aktiviert ist, ist dieses Feld schreibgeschützt. Wenn Sie einen Sicherheitsanschluss wählen, werden der Ziel-Anschluss und der Ziel-Host automatisch angezeigt. |
|
End-to-End SSL/TLS (Client zu Proxy zu Zielhost) |
Mit dieser Option werden Daten bei gleichzeitiger Verbindung mit dem Sicherheitsproxyserver direkt über eine SSL/TLS-Verbindung an den Host übertragen. Für diese Verbindungen sind zwei Zertifikate und zwei SSL/TLS-Quittungsbetriebe (einer für die Verbindung zwischen Client und Proxyserver und der andere für die Verbindung zwischen Client und Host) erforderlich. |
|
Keine Datenverschlüsselung vom Proxy zum Zielhost |
Diese Option wendet eine Null-Verschlüsselung auf die direkte SSL/TLS-Verbindung vom Client zum Host an, sodass diese Verbindung nicht verschlüsselt wird. Dies wirkt sich nicht auf die Verschlüsselung der SSL/TLS-Verbindung vom Client zum Proxyserver aus, die den "Tunnel" für die Client-Host-Verbindung darstellt. Wenn diese Option ausgewählt ist, werden die Daten vom Client zum Proxyserver verschlüsselt und vom Proxy zum Host entschlüsselt (in Klartext). |
|
Proxyverschlüsselungsverfahren |
Eine schreibgeschützte Liste der vom Proxyhost und -anschluss unterstützten Verschlüsselungsverfahren. Die Liste wird nur angezeigt, wenn das Produkt über die (im Lieferumfang des Servers für die zentralisierte Verwaltung enthaltene) Administrative WebStation gestartet wird. |