NSS サーバーと NSS クライアントの間の通信は、Application Transparent Transport Layer Security (AT-TLS) を使用して保護する必要があります。
この通信を保護するには、AT-TLS 規則を定義する必要があります。スタックの AT-TLS 処理を使用可能にするには、TCP/IP プロファイル内の TCPCONFIG ステートメントで TTLS パラメーターを指定します。
特定の AT-TLS ポリシーはポリシー・エージェント構成ファイルで構成されます。AT-TLS の使用可能化および AT-TLS ポリシーの構成について詳しくは、Application Transparent Transport Layer Security のデータ保護を参照してください。
ヒント: TLS 暗号化を必要とする暗号スイートのみが NSS クライアントと交換されるように、AT-TLS ポリシーを定義してください。暗号スイートを暗号化を必要とするものに制限できない場合、非トラステッド・ネットワーク全体で機密情報が平文で流出するおそれがあります。
規則: NSS サーバーが NSS クライアントとの通信に使用するスタックごとに、AT-TLS ポリシーを定義する必要があります。
要件: NSS サーバーは、SSL ハンドシェーク時にサーバーの役目をします。SSL ハンドシェークのサーバー役割で動作するには、NSS サーバーには、秘密鍵、およびその秘密鍵の所有権を確認する証明書へのアクセス権が必要です。AT-TLS を使用するサーバー用の鍵と証明書の作成および管理については、
TLS/SSL セキュリティーを参照してください。
サンプルの AT-TLS ポリシーは /usr/lpp/tcpip/samples/pagent_TTLS.conf に収められています。
規則: TTLSRule ステートメントの LocalPortRange 値には、NSS サーバー構成ファイル内の NssConfig ステートメントの Port パラメーターで指定される値が含まれていなければなりません。