Communications Server の FTP サーバーおよびクライアントは、TLS (トランスポート・レイヤー・セキュリティー) をサポートしています。このサポートによって、FTP 制御およびデータ接続を使用して送受信されるデータにデータ・プライバシー、メッセージ認証、およびメッセージ保全性のサービスを提供し、安全なファイル転送が可能になります。
TLS 使用可能な FTP サーバーは、2 つのモードで実行するよう構成することができます。条件モードを使用すると、インストール・システムは TLS および TLS 以外の両方の FTP 制御接続に単一ポートを使用することができます。条件モードでは、FTP クライアントとサーバーは、RFC 2228 に文書化された FTP セキュリティー・ネゴシエーション機能のサブセットに基づいて TLS の使用をネゴシエーションします。TLS の使用がネゴシエーションされると、TLS ハンドシェークが実行され、そこで TLS セッションの確立とセキュリティー・パラメーターおよびセッション鍵のネゴシエーションが行われます。無条件モードを使用すると、インストール・システムはすべての TLS トラフィックに別個のポートを使用することができます。FTP.DATA の TLSPORT ステートメントによって指定されるポート (デフォルトでポート 990) は、無条件 TLS モードの制御接続用に指定されたポートです。無条件モードでは TLS が必須と見なされ、FTP 制御接続の後で TLS ハンドシェークが実行されます。
TLS は制御接続を保護し、オプションでデータ接続を保護します。データ接続の TLS には、制御接続の TLS セッションが必要です。FTP サーバー構成は、FTP サーバーに制御接続およびデータ接続用の TLS が必要かどうかを制御します。この接続タイプごとの TLS 保護は、TLS ハンドシェークの前に行われる FTP RFC 2228 ネゴシエーションの間にネゴシエーションされます。制御接続の存続時間の間に、FTP クライアントは FTP RFC 2228 コマンドを使用して、データ接続に TLS を使用するかしないかを要求することができます。
FTP TLS はオプションで、TLS ハンドシェークの間にクライアント X.509 証明書を使用してクライアントを認証します。FTP サーバー構成は、TLS クライアント認証が必要かどうか、またどのようなタイプの証明書の検証が必要かを指定します。例えば、クライアント証明書を RACF® ユーザー ID にマップしてから、その証明書に関連するユーザー ID がユーザーの入力したユーザー ID に一致するかどうかを検査するように、FTP サーバーを構成できます。
FTP TLS は必要に応じて、新しいセキュリティー・パラメーターおよびセッション鍵をネゴシエーションする代わりに、前の TLS セッションを再開することによって、TLS ハンドシェークを簡略化します。
FTP クライアントおよびサーバーの構成で、前の TLS セッションの再使用が必要であるかどうかを指定します。
例えば、前の TLS セッションの再使用を必要とするように FTP クライアントを構成し、セッション再使用が可能であっても必要とはしないように FTP サーバーを構成することができます。
FTP クライアントおよびサーバー TLS の TLS 機能とオプションを制御する構成は、 FTP.DATA データ・セットに保管されます。