SSL セキュリティーの有効化

Web アプリケーションの場合、ユーザーのブラウザーと ZIETrans アプリケーション間で SSL セキュリティーを確保するには、HTTPS 接続が必要です。その場合、HTTP サーバーと WebSphere® Application Server で HTTPS がサポートされるように構成する必要があります。HTTP サーバーの証明書は、ブラウザーの証明書ストアに保管され、ブラウザーと HTTP サーバーとの接続に使用されます。

このセクションで後述する ZIETrans SSL 構成は、ZIETrans アプリケーションと (SSL ポートを使用して構成する必要がある) Telnet サーバー間で SSL を構成するときに使用します。この ZIETrans SSL 構成のサポート対象は、ZIETrans Web および EJB アプリケーションです。

ZIETrans アプリケーションと Telnet サーバー間の SSL を使用可能にするには、接続エディターの「セキュリティー」タブで、「SSL を使用可能にする」チェック・ボックスを選択します。詳しくは、『セキュリティー』を参照してください。接続に対して SSL を使用可能にすることにより、接続を経由して流れるデータを暗号化し、接続の機密保護を要求します。

「JSSE を使用」チェック・ボックスを選択すると、ZIETransと HOST システムの間の接続で、SSLite の代わりに、Java Secure Socket Extension (JSSE) セキュリティー・ライブラリーを使用した TLS v1.0、TLS v1.1、または TLS v1.2 が使用可能になります。選択しない場合は (デフォルト・オプション)、SSLite ライブラリーが使用され、この接続に TLS v1.1 と TLS v1.2 は使用できません。

注: IETF Internet-Draft「TLS ベースの Telnet セキュリティー」は、TLS ベースの Telnet 接続を介して SSL ハンドシェークを行うためのプロトコルを定義しています。接続先の Telnet サーバーがこのプロトコルをサポートしている場合、接続定義の拡張接続設定に SSLTelnetNegotiated プロパティーを追加する必要があります。拡張接続設定は、接続エディターの「拡張」タブにあります (「オプションの拡張接続設定を構成してください」を参照)。プロパティーの値を true に設定します。

ZIETrans では、Host On-Demand テクノロジーを採用することにより、ZIETrans アプリケーションから 3270 および 5250 アプリケーションまでの接続を Telnet プロトコルを使用してサポートします。ZIETrans は、Host On-Demand テクノロジーによって提供される SSL サポートを使用して、これらの接続をサポートします。SSL 上でセキュア接続を使用すると、接続を介して流れるデータが暗号化され、したがって第三者による判読を防止できます。

保護された接続の場合、ZIETrans アプリケーションとそれが接続されている Telnet サーバーの両方が SSL をサポートしている必要があります。接続を保護するには、Telnet サーバーがデータの暗号化に使用する証明書を提供する必要があります。

接続の確立が試行されると、ZIETrans は Telnet サーバーから証明書を受け取り、接続を受諾するか拒否するかを判断します。ZIETrans は、内蔵している鍵ストア・ファイルを対象に、Telnet サーバーの個人証明書に一致する署名者証明書を検索します。ZIETrans 鍵ストア・ファイルには、Verisign、Thawte、RSA などの一連の既知の証明書が含まれています。Telnet サーバーで有効な既知の証明書を使用している場合、その証明書は、ZIETrans で提供される既知の証明書のいずれかと一致するので、受け入れられます。この場合には、証明書を格納している鍵ストア・ファイルを作成する必要はありません。必要な署名者の証明書は、既に ZIETrans 内蔵の鍵ストア・ファイル内に存在するためです。

Telnet サーバーが既知の証明書を使用していない場合は、有効な署名者の証明書を格納している鍵ストア・ファイルを作成して、ZIETrans に対して構成する必要があります。この証明書を入手するには、Telnet サーバーの鍵ストア・ファイルを開き、証明書をバイナリー .der ファイルとして抽出し、Java keytool を使用して、 ZIETransで使用する鍵ストア・ファイルに .der ファイルをインポートします。

Java keytool を使用して、ZIETrans で使用する鍵ストア・ファイルを作成し、そのファイルに Telnet サーバーの鍵ストア・ファイルから抽出した証明書ファイルを収容します。
注: 証明書管理について詳しくは、ZIETrans アプリケーションでの IBM 証明書管理の使用を参照してください。

ZIETrans が証明書を必要とする場合は、接続エディターの「セキュリティー」タブのオプションを使用すると、証明書を格納している鍵ストア・ファイルの ZIETrans による検索方法を構成できます。鍵ストア・ファイルをプロジェクトにインポートする場合は、「インポート」ボタンを使用します。または、鍵ストア・ファイルをプロジェクト内には格納しないが、ターゲット・ランタイム・システム上の別の場所に存在するようにすることを指定する場合は、「特定のパスで PKCS12 鍵ストアを使用」オプションを使用します。このオプションは、ZIETrans アプリケーションを再展開する必要なく鍵ストア・ファイルを更新する場合に便利です。鍵ストア・ファイルをインポートする場合、ZIETrans は、EAR プロジェクトのルートにファイルをコピーします (Web プロジェクトの場合)。インポートが完了すると、鍵ストア・ファイルは ZIETrans プロジェクトの一部となり、プロジェクトをエクスポートする場合には、残りのプロジェクト・ファイルとともにパッケージ化されます。詳しくは、『セキュリティー』を参照してください。

注:
  1. 複数の証明書を 1 つの鍵ストア・ファイルに追加できます。
  2. 複数の ZIETrans プロジェクトで同じ鍵ストア・ファイルを使用できます。このためには、同じ鍵ストア・ファイルを EAR プロジェクト (Web アプリケーションの場合) にインポートするか、「特定のパスで PKCS12 鍵ストアを使用」オプションで同じ鍵ストア・ファイルを参照します。
  3. 単一の ZIETrans プロジェクト内部の各接続が参照する鍵ストア・ファイルは、同じファイルでも別のファイルでも構いません。
親トピック: セキュリティーおよび Web Expressログオン