6.7.1 SSL/TLS (boîte de dialogue Propriétés relatives à la sécurité)

Le protocole SSL (Secure Sockets Layer) et son successeur compatible, le protocole TLS (Transport Layer Security), permettent à un client et à un serveur d'établir une connexion chiffrée sécurisée sur un réseau public. Lorsque vous établissez une connexion à l'aide du protocole SSL/TLS, le client authentifie le serveur avant de se connecter. Ainsi, toutes les données échangées entre le client et le serveur sont chiffrées. Selon la configuration du serveur, ce dernier peut également authentifier le client.

Les options sont les suivantes :

Utiliser la sécurité SSL/TLS

Active les connexions SSL/TLS. Vous devez sélectionner cette option pour pouvoir définir d'autres valeurs dans l'onglet SSL/TLS. Lorsque l'option Utiliser la sécurité SSL/TLS est sélectionnée, les connexions à l'hôte ne sont autorisées que s'il est possible d'établir une connexion SSL/TLS sécurisée.

Votre client doit authentifier l'hôte avant toute connexion SSL/TLS. L'authentification s'effectue au moyen de certificats numériques. Ces certificats font partie de la même infrastructure de clés publiques (PKI) que celle utilisée pour la sécurisation des transactions par Internet. Votre ordinateur doit être configuré pour reconnaître le certificat numérique présenté par votre hôte et pour fournir, si nécessaire, un certificat pour l'authentification client. Si votre ordinateur n'est pas correctement configuré ou si les certificats présentés pour l'authentification ne sont pas valides, vous ne pourrez pas effectuer de connexions SSL/TLS. Selon la manière dont le certificat de l'hôte a été émis, vous devrez éventuellement installer un certificat sur votre ordinateur local.

Version SSL/TLS

Spécifie la version SSL ou TLS à utiliser.

Puissance de chiffrement

Spécifiez le niveau de chiffrement souhaité pour les connexions SSL/TLS. La connexion échoue si ce niveau de chiffrement ne peut pas être assuré.

Si vous sélectionnez Chiffrements recommandés, le client FTP détermine conjointement avec le système hôte le niveau de chiffrement le plus élevé pris en charge à la fois par l'hôte et par le client. Ce nouveau paramètre contient le niveau de chiffrement recommandé de Micro Focus et change régulièrement.

Si le mode FIPS est en cours et si vous sélectionnez Chiffrements recommandés, le client FTP négocie uniquement des niveaux de chiffrement conformes aux normes FIPS.

Si vous sélectionnez Chiffrements personnalisés, vous serez invité à effectuer une sélection dans la liste des chiffrements disponibles dans l'affichage de liste Chiffrements personnalisés.

REMARQUE :Les fichiers de session des versions antérieures de Reflection qui utilisent la puissance de chiffrement par défaut, 168, 128 ou 256 bits sont importés en tant que chiffrements personnalisés et gèrent la liste utilisée dans ces versions pour ces options.

Exécution en mode FIPS

Lorsque vous exécutez <prod_short> en mode FIPS, toutes les connexions sont établies à l'aide de protocoles et d'algorithmes de sécurité conformes aux normes FIPS 140-2. Certaines options de connexion standard ne sont pas disponibles dans ce mode. Si une connexion est effectuée en mode FIPS, une icône correspondant à ce dernier est visible dans la barre d'état.

REMARQUE :Si vous sélectionnez Exécution en mode FIPS dans l'onglet SSL/TLS, le mode FIPS n'est appliqué qu'à la connexion en cours de configuration. Les administrateurs peuvent utiliser des stratégies de groupe pour appliquer le mode FIPS à l'ensemble des connexions.

Extraire et valider la chaîne de certificat

Spécifie si les certificats présentés pour l'authentification hôte sont vérifiés afin de déterminer s'ils sont valides et signés par une autorité de certification approuvée.

ATTENTION :Si vous désactivez cette option, vos connexions deviennent vulnérables vis-à-vis des attaques de type « homme du milieu », ce qui risquerait de compromettre la sécurité de la connexion.

Utilisation du proxy de sécurité Reflection

Configurez cette session afin qu'elle utilise le proxy de sécurité pour la connexion au serveur.

Connexion SSL/TLS implicite

Les serveurs IBM z/VM ou z/OS Telnet peuvent être configurés de façon à envoyer la commande STARTTLS lors de la négociation de connexions SSL/TLS sécurisées. Pour se connecter à des serveurs configurés de façon à envoyer cette commande, désactivez cette option.

Pour se connecter à des serveurs non configurés de façon à envoyer cette commande, laissez cette option sélectionnée. Il est recommandé de désélectionner cette option pour les serveurs exigeant STARTTLS. Lorsque cette option est sélectionnée, les connexions sécurisées aux serveurs envoyant la commande STARTTLS ne sont pas prises en charge.

Paramètres du serveur proxy de sécurité de

Vous pouvez utiliser les paramètres sous Utiliser le serveur proxy de sécurité de si vous utilisez un serveur de gestion centralisée (disponible séparément auprès de Micro Focus) pour gérer votre session et que vous avez lancé cette session à partir de la station Web Administrative. Avec ces options, votre session se connecte à votre hôte via le proxy de sécurité fourni avec le serveur de gestion centralisée. Vous pouvez utiliser ce proxy de sécurité pour configurer des connexions sécurisées même si votre hôte n'exécute pas de serveur Telnet compatible SSL/TLS. (Certains de ces paramètres ne sont visibles que lorsque vous utilisez la station Web Administrative.)

REMARQUE :

  • Lorsque le proxy de sécurité est utilisé, la connexion entre le client et le serveur proxy de sécurité est sécurisée et chiffrée à l'aide du protocole SSL/TLS. Par défaut, les informations envoyées entre le serveur proxy et l'hôte de destination sont présentées en clair. Si vous activez l'option Chiffrement de bout en bout (disponible pour les sessions 5250, 3270 et VT), les informations envoyées entre le proxy de sécurité et l'hôte de destination sont également chiffrées. ( L'option Chiffrement de bout en bout nécessite que l'hôte prenne en charge SSL/TLS.)

  • Si vous configurez des sessions dont la connexion s'effectue via le proxy de sécurité avec l'autorisation activée, les utilisateurs doivent se connecter au serveur de gestion centralisée avant de pouvoir se connecter à l'aide de ces sessions.

Utiliser le serveur proxy de sécurité

Configurez cette session afin qu'elle utilise le proxy de sécurité pour la connexion au serveur.

Serveur proxy de sécurité

Sélectionnez le nom du serveur proxy dans la liste déroulante, qui répertorie l'ensemble des serveurs disponibles.

Port proxy

Sélectionnez le port du serveur proxy dans la liste déroulante.

Hôte de destination

Si l'autorisation client est activée sur le proxy de sécurité, entrez le nom de l'hôte de destination. Si l'autorisation client n'est pas activée, cette case est en lecture seule.

Lorsque vous sélectionnez un port de sécurité, l'hôte de destination configuré de façon à utiliser ce port est affiché automatiquement.

port cible

Si l'autorisation client est activée sur le proxy de sécurité, entrez le port de destination. Si l'autorisation client n'est pas activée, cette case est en lecture seule.

Lorsque vous sélectionnez un port de sécurité, le port et l'hôte de destination sont affichés automatiquement.

SSL/TLS de bout en bout (du client au proxy et à l'hôte de destination)

Cette option établit une connexion SSL/TLS directe à l'hôte par le biais de tunnels tout en utilisant également le serveur proxy de sécurité de Ces connexions nécessitent deux certificats et deux négociations SSL/TLS : l'une pour la connexion client/serveur proxy et l'autre pour la connexion client/hôte.

Aucun chiffrement de données du proxy à l'hôte de destination

Cette option applique un chiffrement nul à la connexion SSL/TLS directe du client à l'hôte de façon à ce que cette connexion ne soit pas chiffrée. Cela n'a aucune incidence sur le chiffrement de la connexion SSL/TLS du client au serveur proxy fournissant le « tunnel » pour la connexion client/hôte. Lorsque cette option est sélectionnée, les données sont chiffrées du client au serveur proxy, puis non chiffrées (« en clair ») du proxy à l'hôte.

Suites de chiffrement proxy

Liste en lecture seule des suites de chiffrement prises en charge par cet hôte et ce port proxy. Cette liste n'est visible qu'au lancement du produit à partir de la station Web Administrative (fournie avec le serveur de gestion centralisée).