TLS/SSL

TLS (Transport Layer Security) y SSL (Secure Sockets Layer) son dos protocolos de comunicaciones distintos que permiten que las aplicaciones se comuniquen con seguridad en Internet mediante el cifrado de datos. TLS se basa en SSL, pero tiene un protocolo inicial de handshake y tiene m�s capacidad de ampliaci�n. TLS y SSL no pueden interactuar entre s�. Es decir, una aplicaci�n que utilice TLS no se puede comunicar con una aplicaci�n que ejecute SSL. El uso de ambos protocolos est� muy extendido.

Con negociaci�n Telnet (s�lo sesiones de pantalla/impresora 3270 y VT)
Determina si las negociaciones de seguridad entre el cliente y el servidor Telnet se realizan en la conexi�n Telnet establecida o en una conexi�n TLS anterior a la negociaci�n Telnet. Para que el cliente utilice esta caracter�stica, el servidor Telnet debe dar soporte a la seguridad Telnet basada en TLS. Las otras opciones son v�lidas independientemente de si la negociaci�n Telnet est� establecida en S� o en No.

Autenticaci�n del servidor
Garantiza que se establecer� una sesi�n segura s�lo si el nombre para Internet del servidor coincide con el nombre com�n del certificado del servidor. Eso s�lo es aplicable a un cliente instalado localmente o a un cliente que se ha bajado mediante HTTPS.

A�adir archivo de claves del navegador MSIE
Cuando est� seleccionada esta opci�n, el cliente Host On-Demand acepta autoridades certificadoras en las que conf�a el navegador Microsoft Internet Explorer.

Las opciones siguientes se utilizan para especificar c�mo se maneja la autenticaci�n del cliente.

Enviar un certificado
Habilita la Autenticaci�n de clientes.  Si pulsa No y el servidor solicita un certificado de cliente, se indica al servidor que no hay ning�n certificado de cliente disponible y no se le solicitar� al usuario.

Origen del certificado
El certificado se puede conservar en el navegador del cliente o un dispositivo de seguridad dedicado, como por ejemplo una tarjeta inteligente.

Como alternativa, puede conservarse en un archivo local o en red, en formato PKCS12 o PFX, protegido con contrase�a.

URL o v�a de acceso y nombre de archivo
Especifica la ubicaci�n por omisi�n del certificado de cliente. Los protocolos de URL que puede utilizar dependen de las posibilidades del navegador. La mayor�a de los navegadores soportan HTTP, HTTPS, FTP y FTPS.

Seleccionar archivo
Pulse Seleccionar archivo para buscar en el sistema de archivos local el archivo que contiene el certificado.

Configurar
Abre el cuadro de di�logo Configuraci�n de soporte de criptograf�a en el que puede especificar los par�metros para utilizar una Smart Card para la autenticaci�n de clientes en Linux (plataforma Intel de 32 bits) en Host On-Demand.   Es posible acceder a este bot�n desde todas las plataformas, por lo que el administrador puede configurar el nombre del m�dulo criptogr�fico para que el usuario utilice el cliente Linux; no obstante, el usuario debe proporcionar la contrase�a al conectarse a la se�al criptogr�fica.

Para que Host On-Demand funcione con Smart Cards en Linux, adem�s de instalar los controladores de Smart Card y la biblioteca PKCS11 para el controlador, tambi�n es necesario descargar la biblioteca PKS11 de la p�gina HODMain y configurar la variable de entorno LD_LIBRARY_PATH de forma que incluya el directorio en el que se encuentran las bibliotecas compartidas.

Este bot�n s�lo est� disponible cuando la opci�n Navegador o dispositivo de seguridad est� seleccionada como Origen del certificado.

Soporte para el uso de claves y para el uso de claves extendido

Un requisito de claves para cualquier soluci�n es que el cliente pueda reconocer autom�ticamente y utilizar el certificado de autenticaci�n correcto en la tarjeta inteligente del usuario o el navegador o el archivo p12 sin configuraci�n ni intervenci�n del usuario; para hacerlo, tenemos que configurar la sesi�n con las propiedades Uso de claves o Uso de claves extendido.

Seleccionar el uso de claves

Este di�logo muestra todos los usos de claves del ID de objeto (OID) definido. Est�n disponibles las siguientes pesta�as:

• Uso de claves

  Puede elegir qu� bits deben establecerse en la extensi�n del certificado de Uso de claves para que un certificado personal sea apto para su uso en una sesi�n de autenticaci�n de cliente.

• Uso de claves extendido

  Puede elegir qu� usos de clave extendidos deben aparecer en la extensi�n del certificado Uso de claves extendido, para que un certificado personal sea apto para su uso en una sesi�n de autenticaci�n del cliente. Los elementos de la lista aparecen como una descripci�n (por ejemplo, Autenticaci�n de clientes), junto con un identificador de objeto (OID) (por ejemplo, 1.2.3.4). Un recuadro de selecci�n indica si se ha seleccionado el elemento.

Hay disponibles pares comunes de descripci�n y OID. Puede a�adir m�s pares de descripci�n y OID pulsando A�adir uso de claves extendido.

Nombre de certificado
Seleccione un certificado de la lista. Tambi�n puede aceptar cualquier certificado en el que el servidor conf�e.

A�adir nombre de certificado
Pulse A�adir nombre de certificado para especificar los par�metros de selecci�n de un certificado de cliente, incluidos el nombre com�n, la direcci�n de correo electr�nico, la unidad de organizaci�n y la organizaci�n utilizados para definirlo. (Este bot�n s�lo est� disponible en el panel de configuraci�n del administrador).

Con qu� frecuencia solicitar
Este recuadro desplegable le permite controlar la frecuencia de las solicitudes de certificados de cliente. El origen del certificado de los clientes determina la selecci�n de solicitudes disponibles para el usuario. Puede considerar las dos opciones siguientes como constantes; siempre est�n disponibles, independientemente del origen del certificado:

• En cada conexi�n - Mensaje de solicitud al cliente cada vez que se realiza una conexi�n con el servidor.
• La primera vez despu�s de que se haya iniciado HOD - Mensaje de solicitud al cliente la primera vez que se realiza una conexi�n para esa sesi�n concreta.

Si el origen del certificado es Navegador o dispositivo de seguridad, tiene dos opciones adicionales:

• S�lo una vez y guardar preferencias en el cliente - Mensaje de solicitud al cliente la primera vez que se realiza una conexi�n. A pesar el n�mero de sesiones iniciadas mientras Host On-Demand est� activo, un cliente con varias sesiones que haya elegido esta opci�n s�lo recibe una solicitud. (No obstante, si no funciona un intento de conexi�n, el cliente recibe otra solicitud).
• No solicitar - Inhabilita el mensaje de solicitud procedente de Host On-Demand, pero no del navegador ni del dispositivo de seguridad.

Actualmente esto s�lo se cumple con Microsoft Internet Explorer.

Si el origen del certificado es URL o archivo local, y los clientes almacenan las preferencias de usuario localmente, tendr� dos opciones adicionales:

• S�lo una vez y guardar preferencias en el cliente - Mensaje de solicitud al cliente la primera vez que se realiza una conexi�n. A pesar el n�mero de sesiones iniciadas mientras Host On-Demand est� activo, un cliente con varias sesiones que haya elegido esta opci�n s�lo recibe una solicitud. (No obstante, si no funciona un intento de conexi�n, el cliente recibe otra solicitud).
• S�lo una vez, por cada certificado - Mensaje de solicitud al cliente la primera vez que se realiza una conexi�n. Un cliente con varias sesiones que haya elegido esta opci�n s�lo recibe una solicitud, pesar del n�mero de sesiones iniciadas, siempre que se aplique el mismo certificado a esas sesiones. (No obstante, si no funciona un intento de conexi�n, el cliente recibe otra solicitud).

Si el origen del certificado es URL o archivo local, y los clientes no almacenan las preferencias de usuario localmente, tendr� una opci�n adicional:

• S�lo una vez, por cada certificado - Mensaje de solicitud al cliente la primera vez que se realiza una conexi�n. Un cliente con varias sesiones que haya elegido esta opci�n s�lo recibe una solicitud, pesar del n�mero de sesiones iniciadas, siempre que se aplique el mismo certificado a esas sesiones. (No obstante, si no funciona un intento de conexi�n, el cliente recibe otra solicitud).

Recuperar certificado antes de conectar
Si pulsa S�, el cliente accede a su certificado antes de conectarse al servidor, tanto si el servidor solicita un certificado como si no. Si pulsa No, el cliente s�lo acceder� al certificado despu�s de que el servidor lo solicite; en funci�n de otros valores, esto podr�a obligar al cliente a terminar la conexi�n con el servidor de manera an�mala, solicitar al usuario y despu�s volver a conectar.

Bloquear (s�lo el administrador de Host On-Demand)
Seleccione Bloquear para impedir que los usuarios puedan cambiar el valor de arranque asociado para una sesi�n. Los usuarios no pueden modificar los valores de la mayor�a de los campos porque los campos no est�n disponibles. Sin embargo, las funciones a las que se accede desde el men� o la barra de herramientas de la sesi�n se pueden modificar.

Tema relacionado

• Funcionamiento de la seguridad TLS y SSL
• Configurar TLS y SSL
• Visi�n general de la seguridad con negociaci�n Telnet
• Seguridad con negociaci�n Telnet
• Configuraci�n de seguridad con negociaci�n Telnet
• Autenticaci�n de clientes