TLS/SSL-suojaus

TLS (Transport Layer Security) ja SSL (Secure Sockets Layer) ovat kaksi erillist� yhteysk�yt�nt��, joiden avulla sovellukset voivat viesti� Internetiss� suojatusti tietojen salauksen ansiosta. TLS perustuu SSL-suojaukseen, mutta aloituksessa k�ytett�v� k�ttelyk�yt�nt� on erilainen ja lis�ksi TLS on laaja-alaisempi. TLS ja SSL eiv�t ole yhteentoimivia. T�m� tarkoittaa, ett� TLS-suojausta k�ytt�v� sovellus ei voi viesti� SSL-suojausta k�ytt�v�n sovelluksen kanssa. Molemmilla yhteysk�yt�nn�ill� on paljon k�ytt�ji�.

Telnet-yhteydess� neuvoteltu (vain 3270-p��te- ja -kirjoitinistunnot, VT-istunnot)
T�m� asetus m��ritt��, toteutetaanko suojausneuvottelut ty�aseman ja Telnet-palvelimen v�lill� aloitetulle Telnet-yhteydelle vai TLS-yhteydelle ennen Telnet-neuvottelua. Jotta ty�asema voi k�ytt�� t�t� ominaisuutta, Telnet-palvelimen on tuettava TLS-perustaista Telnet-suojausta. Muut asetukset ovat kelvollisia riippumatta siit�, onko Telnet-yhteydess� neuvoteltu -asetuksen arvona Kyll� vai Ei.

Palvelintodennus
Varmistaa, ett� suojattu istunto muodostetaan vain, jos palvelimen Internet-nimi vastaa palvelimen varmenteessa olevaa kutsumanime�. T�m� koskee vain paikallisesti asennettuja ty�asemaohjelmia tai HTTPS-yhteysk�yt�nn�n avulla ladattuja ty�asemaohjelmia.

MSIE-selaimen avainryhm�n lis�ys
Kun t�m� vaihtoehto valitaan, Host On-Demand -ty�asemaohjelma hyv�ksyy varmenteen my�nt�j�t, joihin Microsoft Internet Explorer -selain luottaa.

Seuraavia asetuksia k�ytet��n m��ritt�m��n ty�aseman todennuksen k�sittely.

Varmenteen l�hetys
On ty�asematodennuksen edellytys.  Jos valitset Ei-vaihtoehdon ja palvelin pyyt�� ty�asemavarmennetta, palvelin saa vastauksen, ett� ty�asemavarmennetta ei ole k�ytett�viss�, eik� k�ytt�j� saa kehotetta.

Varmenteen l�hde
Varmennetta voidaan s�ilytt�� ty�aseman selaimessa tai varatussa suojauslaitteessa, kuten toimikortissa.

Sit� voidaan s�ilytt�� my�s paikallis- tai verkkotiedostossa PKCS12- tai PFX-muodossa salasanalla suojattuna.

URL-osoite tai polku ja tiedoston nimi
M��ritt�� ty�aseman varmenteen oletussijainnin. K�ytett�viss� olevat URL-yhteysk�yt�nn�t m��r�ytyv�t selainohjelman suorituskyvyn mukaan. Useimmat selaimet tukevat HTTP-, HTTPS-, FTP- ja FTPS-yhteysk�yt�nt�j�.

Valitse tiedosto
Voit etsi� varmenteen sis�lt�v�n tiedoston selaamalla paikallisesta tiedostoj�rjestelm�st� napsauttamalla Valitse tiedosto -painiketta.

Asetukset
Avaa Salakirjoitustuen asetukset -valintaikkuna, jossa voit m��ritt�� Linux-ymp�rist�ss� (32-bittinen Intel-ymp�rist�) toimikortin avulla tapahtuvan ty�aseman todennuksen parametrit Host On-Demand -ohjelmassa.  T�m� painike on k�ytett�viss� kaikissa ymp�rist�iss�, joten p��k�ytt�j� voi asettaa salakirjoitusmoduulin nimen k�ytt�j�lle Linux-ty�asemassa k�ytt�� varten. K�ytt�j�n on kuitenkin annettava salasana, kun h�n muodostaa yhteyden salaussanakkeeseen.

Jotta Host On-Demand -ohjelma voi k�ytt�� toimikortteja Linux-ymp�rist�ss�, toimikortin ajurien sek� ajurin PKCS11-kirjaston asennuksen lis�ksi on ladattava PKS11-kirjasto HODMain-sivulta ja m��ritett�v� LD_LIBRARY_PATH-ymp�rist�muuttuja siten, ett� se sis�lt�� hakemiston, jossa yhteiskirjastot sijaitsevat.

T�m� painike on k�ytett�viss� vain, kun Selain tai suojauslaite -vaihtoehto on valittu Varmenteen l�hde -kohtaan.

Avaimen tavallisen k�yt�n ja laajennetun k�yt�n tuki

Avainvaatimus kaikille sovelluksille on, ett� ty�asemaohjelma voi automaattisesti tunnistaa oikean todennusvarmenteen k�ytt�j�n toimikortista tai selaimesta tai p12-tiedostosta ilman k�ytt�j�n kokoonpanom��rityst� tai k�ytt�j�n toimia. T�m�n vuoksi istunto on m��ritett�v� Avaimen k�ytt�- tai Avaimen laajennettu k�ytt� -ominaisuuksien avulla.

Varmenteen avaimen k�ytt�tarkoitusten valinta

T�ss� valintaikkunassa n�kyv�t kaikki m��ritetyt OID-k�ytt�tavat. Seuraavat v�lilehdet ovat k�ytett�viss�:

• Avaimen k�ytt�

  Valitsemalla t�m�n vaihtoehdon voit valita, mitk� osat on m��ritett�v� k�ytt�m�ll� Avaimen k�ytt� -varmenteen tunnusta, jotta henkil�kohtaista varmennetta voidaan k�ytt�� ty�aseman todennusistunnossa.

• Avaimen laajennettu k�ytt�

  Voit valita, mitk� laajennetut k�ytt�tavat on sis�llytett�v� Avaimen laajennettu k�ytt� -ominaisuuteen, jotta henkil�kohtaista varmennetta voidaan k�ytt�� ty�aseman todennusistunnossa. Luettelon osat n�kyv�t kuvauksena (esimerkiksi Ty�aseman todennus) OID-tunnuksen yhteydess� (esimerkiksi 1.2.3.4). Valintamerkki osoittaa, onko kyseinen merkint� valittu.

K�ytett�viss� ovat yleinen kuvaus ja OID-parit. Voit lis�t� kuvauksia ja OID-pareja napsauttamalla Lis�� avaimen laajennettu k�ytt�.

Varmenteen nimi
Valitse luettelosta haluamasi varmenne. Voit my�s hyv�ksy� mink� tahansa varmenteen, johon palvelin luottaa.

Lis�� varmenteen nimi
Valitsemalla t�m�n vaihtoehdon voit m��ritt�� ty�asemavarmenteen valitsemiseen ja m��ritt�miseen tarvittavat parametrit, kuten yleisen nimen, s�hk�postiosoitteen, organisaation yksik�n ja organisaation.   (Painike on k�ytett�viss� vain p��k�ytt�j�n kokoonpanon�yt�ss�.)

Kehotteen tuonti kuvaruutuun
T�m�n luetteloruudun avulla voit ohjata sit�, kuinka usein ty�asemavarmenteiden kehote tulee n�kyviin. K�ytt�miesi ty�asemaohjelmien varmenteen l�hde m��ritt�� k�ytett�viss�si olevien kehotteiden valinnan. Seuraavia kahta vaihotehtoa voi pit�� vakioina. Ne ovat aina k�ytett�viss� varmenteen l�hteest� riippumatta.

• Jokaisen yhteyden muodostuksen yhteydess� - Tuo kehotteen n�kyviin aina, kun ty�asema muodostaa yhteyden palvelimeen.
• Ensimm�isen kerran, kun HOD aloitetaan - Tuo kehotteen n�kyviin, kun ty�asema muodostaa yhteyden ensimm�isen kerran kyseisen istunnon aikana.

Jos varmenteen l�hde on selain tai suojauslaite, k�ytett�viss�si on kaksi lis�vaihtoehtoa:

• Vain kerran, oletusasetukset tallentuvat ty�asemaan - Tuo kehotteen n�kyviin, kun ty�asema muodostaa yhteyden ensimm�isen kerran. Vaikka ty�asema aloittaisi useita istuntoja Host On-Demand -ohjelman ollessa k�yt�ss�, useita istuntoja ajava ty�asema vastaanottaa kehotteen vain kerran, jos t�m� asetus on k�yt�ss�. (Jos yhteydenmuodostusyritys ep�onnistuu, ty�asema saa kuitenkin toisenkin kehotteen.)
• Ei kehotetta - Poistaa kehotteen k�yt�st� Host On-Demand -ohjelmasta, mutta ei selaimesta tai suojauslaitteesta.

T�ll� hetkell� t�m� toimii vain Microsoft Internet Explorer -selaimessa.

Jos varmenteen l�hde on URL-osoite tai paikallinen tiedosto, ja ty�asemaohjelmat tallentavat k�ytt�j�n oletusasetukset paikallisesti, k�yt�ss�si on kaksi lis�vaihtoehtoa:

• Vain kerran, oletusasetukset tallentuvat ty�asemaan - Tuo kehotteen n�kyviin, kun ty�asema muodostaa yhteyden ensimm�isen kerran. Vaikka ty�asema aloittaisi useita istuntoja Host On-Demand -ohjelman ollessa k�yt�ss�, useita istuntoja ajava ty�asema vastaanottaa kehotteen vain kerran, jos t�m� asetus on k�yt�ss�. (Jos yhteydenmuodostusyritys ep�onnistuu, ty�asema saa kuitenkin toisenkin kehotteen.)
• Kehote vain kerran kustakin varmenteesta - Tuo kehotteen n�kyviin, kun ty�asema muodostaa yhteyden ensimm�isen kerran. Useita istuntoja ajava ty�asema, jossa t�m� asetus on k�yt�ss�, saa vain yhden kehotteen riippumatta siit�, montako istuntoa on aloitettu, mik�li istuntoihin sovelletaan samaa varmennetta. (Jos yhteydenmuodostusyritys ep�onnistuu, ty�asema saa kuitenkin toisenkin kehotteen.)

Jos varmenteen l�hde on URL-osoite tai paikallinen tiedosto, ja ty�asemaohjelmat eiv�t tallenna k�ytt�j�n oletusasetuksia paikallisesti, k�yt�ss�si on yksi lis�vaihtoehto:

• Kehote vain kerran kustakin varmenteesta - Tuo kehotteen n�kyviin, kun ty�asema muodostaa yhteyden ensimm�isen kerran. Useita istuntoja ajava ty�asema, jossa t�m� asetus on k�yt�ss�, saa vain yhden kehotteen riippumatta siit�, montako istuntoa on aloitettu, mik�li istuntoihin sovelletaan samaa varmennetta. (Jos yhteydenmuodostusyritys ep�onnistuu, ty�asema saa kuitenkin toisenkin kehotteen.)

Varmenteen nouto ennen yhteyden muodostusta
Jos valitset vaihtoehdon Kyll�, ty�asemaohjelma noutaa varmenteen ennen yhteyden muodostusta palvelimeen, pyyt�� palvelin varmennetta tai ei. Jos valitset vaihtoehdon Ei, ty�asemaohjelma noutaa varmenteen vasta sitten, kun palvelin on pyyt�nyt sit�. Muut asetukset vaikuttavat siihen, pakottaako t�m� ty�asemaohjelman katkaisemaan yhteyden palvelimeen ep�tavallisesti, pyyt�m��n k�ytt�j�lt� varmennetta ja muodostamaan sitten yhteyden uudelleen.

Lukitus (vain Host On-Demand -ohjelman p��k�ytt�j�)
Voit est�� k�ytt�ji� muuttamasta istunnon aloitusarvoa valitsemalla Lukitus-vaihtoehdon. K�ytt�j�t eiv�t voi muuttaa useimpien kenttien arvoja, koska kent�t eiv�t ole k�ytett�viss�. Istunnon valikko- tai ty�kalurivin avulla k�ytett�vi� toimintoja voi kuitenkin muuttaa.

Aiheeseen liittyv��

• TLS- ja SSL-suojaus
• TLS- ja SSL-suojauksen m��ritys
• Telnet-yhteyksiss� neuvoteltavan suojauksen yleiskatsaus
• Telnet-yhteydess� neuvoteltu suojaus
• Telnet-yhteyksiss� neuvoteltavan suojauksen kokoonpanon m��ritys
• Ty�asematodennus