TLS/SSL

Les protocoles TLS (Transport Layer Security) et SSL (Secure Sockets Layer) sont deux protocoles de communication permettant aux applications de communiquer de fa�on s�curis�e sur Internet gr�ce au chiffrement des donn�es. Le protocole TLS repose sur SSL, mais se distingue par une proc�dure d'�tablissement de liaison diff�rente et une plus grande extensibilit�. Les protocoles TLS et SSL ne sont pas interop�rables. En d'autres termes, une application exploitant le protocole TLS ne peut communiquer avec aucune session ex�cutant SSL. Ces deux protocoles sont couramment utilis�s.

Sessions Telnet n�goci�es ((sessions �cran/imprimante 3270 et VT uniquement)
D�termine si les n�gociations relatives � la s�curit� entre le client et le serveur Telnet s'effectuent au niveau de la connexion Telnet �tablie ou au niveau d'une connexion TLS ant�rieure � la n�gociation Telnet. Pour que le client puisse utiliser cette fonction, le serveur Telnet doit prendre en charge la s�curit� Telnet bas�e sur TLS. La d�finition des autres options ne d�pend pas de celle-ci.

Authentification du serveur
Permet de s'assurer qu'une session s�curis�e est �tablie uniquement si le nom Internet du serveur correspond au nom usuel dans le certificat du serveur. Cette option ne fonctionne que sur un client install� en local ou sur un client t�l�charg� via HTTPS.

Ajout du fichier de cl�s du navigateur MSIE
Lorsque cette option est s�lectionn�e, le client Host On-Demand accepte les autorit�s de certification s�curis�es par le navigateur Microsoft Internet Explorer.

Les options suivantes permettent de d�finir le traitement de l'authentification client.

Envoi du certificat
Active l'authentification du client.Si cette option est d�sactiv�e et que le serveur requiert un certificat client, le serveur est inform� qu'aucun certificat client n'est disponible et l'utilisateur n'est pas invit� � en entrer un.

Source de certificat
Le certificat peut �tre conserv� dans le navigateur du client ou un dispositif de s�curit� d�di�, comme une carte � puce.

Il peut �galement �tre conserv� dans un fichier local ou accessible via le r�seau, au format PKCS12 ou PFX, prot�g� par un mot de passe.

URL ou chemin/nom de fichier
Indique l'emplacement par d�faut du certificat client. Les types d'URL que vous pouvez utiliser d�pendent des capacit�s de votre navigateur. La plupart des navigateurs prennent en charge HTTP, HTTPS, FTP et FTPS.

S�lection d'un fichier
Cliquez sur S�lection d'un fichier pour localiser le syst�me de fichiers local qui correspond au fichier contenant le certificat.

Configuration
Ouvre la bo�te de dialogue D�finition du support de chiffrement qui vous permet de sp�cifier des param�tres pour l'utilisation d'une carte � puce afin d'authentifier les clients sous Linux (plateforme Intel 32 bits) dans Host On Demand.  Ce bouton est accessible sur toutes les plateformes pour que l'administrateur puisse configurer le nom du module de cryptographie � utiliser sur le client Linux. Cependant, l'utilisateur doit fournir le mot de passe lorsqu'il se connecte au jeton cryptographique.

Pour que Host On-Demand puisse fonctionner avec des cartes � puce sous Linux, vous devez non seulement installer les pilotes de carte � puce et la biblioth�que PKCS11 pour le pilote mais vous devez �galement t�l�charger la biblioth�que PKS11 � partir de la page HODMain et configurer la variable d'environnement LD_LIBRARY_PATH en incluant le r�pertoire contenant les biblioth�ques partag�s.

Ce bouton est disponible uniquement lorsque l'option de navigateur ou de dispositif de s�curit� est s�lectionn�e comme source de certificat.

Support d'utilisation de cl� et d'utilisation de cl� �tendue

Exigence cl� de toute solution : le client doit pouvoir reconna�tre automatiquement et utiliser le certificat correct d'authentification sur la carte � puce d'utilisateur ou le navigateur ou le fichier p12 sans configuration ni intervention de l'utilisateur. Pour cela, nous devons configurer la session avec les propri�t�s d'utilisation de cl� ou de cl� �tendue.

S�lection de l'utilisation de cl�

Cette bo�te de dialogue affiche toutes les utilisations de cl�s de l'ID objet (OID) d�fini. Les onglets suivants sont disponibles :

• Utilisation de cl�

  Vous pouvez choisir les bits � d�finir dans l'extension de certificat d'utilisation de cl�, afin qu'un certificat personnel puisse �tre utilis� dans une session d'authentification de client.

• Utilisation de cl� �tendue

  Vous pouvez choisir les utilisations de cl� �tendues � afficher dans l'extension de certificat d'utilisation de cl� �tendue, afin qu'un certificat personnel puisse �tre utilis� dans une session d'authentification de client. Les �l�ments de la liste apparaissent sous forme de description (par exemple, Authentification de client), avec un ID objet (OID) (par exemple, 1.2.3.4). Une case � cocher indique si un �l�ment est s�lectionn�.

Des paires de description et OID courantes sont disponibles. Vous pouvez ajouter des paires de description et OID en cliquant sur Ajout d'utilisation de cl� �tendue.

Nom du certificat
S�lectionnez un certificat dans la liste. Vous pouvez �galement accepter l'un des certificats reconnus par le serveur.

Ajout du nom de certificat
Cliquez sur ce bouton pour indiquer les param�tres de s�lection d'un certificat client, y compris le nom usuel, l'adresse �lectronique, le service et l'organisation servant � le d�finir.  (Ce bouton n'est disponible que dans le panneau de configuration de l'administrateur.)

Fr�quence d'invite
Cette liste d�roulante permet de contr�ler la fr�quence d'affichage des invites relatives aux certificats client. La source du certificat de vos clients d�termine le choix des invites propos�es. Les deux s�lections suivantes sont disponibles en permanence, quelle que soit la source du certificat source :

• Lors de chaque connexion - Lance une invite � l'intention du client chaque fois qu'une connexion est �tablie avec le serveur.
• Au premier d�marrage de HOD - Lance une invite � l'attention du client lors de la premi�re connexion � cette session particuli�re.

Si la source du certificat est le navigateur ou un dispositif de s�curit�, vous disposez de deux options suppl�mentaires :

• Une seule fois pour le stockage des pr�f�rences sur le poste client - Lance une invite � l'attention du client lors de la premi�re connexion. Ind�pendamment du nombre de sessions d�marr�es alors que Host On-Demand est actif, un client associ� � des sessions multiples et configur� avec cette option re�oit une seule invite (toutefois, si une tentative de connexion �choue, le client re�oit une nouvelle invite).
• Pas d'invite - D�sactive l'invite � partir de Host On-Demand, mais pas du navigateur ni du dispositif de s�curit�.

Cette option n'est disponible que pour Microsoft Internet Explorer.

Si la source du certificat est une URL ou un fichier local et que vos clients proc�dent � un enregistrement local des pr�f�rences de l'utilisateur, deux options suppl�mentaire sont disponibles :

• Une seule fois pour le stockage des pr�f�rences sur le poste client - Lance une invite � l'attention du client lors de la premi�re connexion. Ind�pendamment du nombre de sessions d�marr�es alors que Host On-Demand est actif, un client associ� � des sessions multiples et configur� avec cette option re�oit une seule invite (toutefois, si une tentative de connexion �choue, le client re�oit une nouvelle invite).
• Une seule fois pour chaque certificat - Lance une invite � l'attention du client lors de la premi�re connexion. Un client associ� � des sessions multiples et configur� avec cette option re�oit une seule invite quel que soit le nombre de sessions d�marr�es, du moment que le m�me certificat s'applique � ces sessions (toutefois, si une tentative de connexion �choue, le client re�oit une nouvelle invite).

Si la source du certificat est une URL ou un fichier local et que vos clients ne proc�dent pas � l'enregistrement local des pr�f�rences de l'utilisateur, une option suppl�mentaire est disponible :

• Une seule fois pour chaque certificat - Lance une invite � l'attention du client lors de la premi�re connexion. Un client associ� � des sessions multiples et configur� avec cette option re�oit une seule invite quel que soit le nombre de sessions d�marr�es, du moment que le m�me certificat s'applique � ces sessions (toutefois, si une tentative de connexion �choue, le client re�oit une nouvelle invite).

Extraction du certificat avant la connexion
Si vous cliquez sur Oui, le client acc�de � son certificat avant de se connecter au serveur, que ce dernier en fasse ou non la demande. Si vous cliquez sur Non, le client n'acc�de au certificat qu'apr�s la demande du serveur ; en fonction d'autres param�tres, le client peut �tre forc� d'interrompre exceptionnellement la connexion au serveur, d'afficher une invite pour l'utilisateur et d'�tablir de nouveau la connexion.

Verrouillage (Administrateur Host On-Demand uniquement)
Vous pouvez cocher l'option Verrouillage pour emp�cher les utilisateurs de modifier la valeur de d�marrage associ�e � une session. Les utilisateurs ne peuvent pas modifier les valeurs de la plupart des zones car elles ne sont pas disponibles. Toutefois, ils peuvent modifier les fonctions auxquelles ils acc�dent � partir de la barre de menus ou de la barre d'outils.

Rubriques connexes

• Fonctionnement de la s�curit� TLS et SSL
• Configuration de TLS et de SSL
• Pr�sentation de la s�curit� n�goci�e par Telnet
• S�curit� n�goci�e par Telnet
• Configuration de la s�curit� n�goci�e par Telnet
• Authentification du client