SSL 認証レベル

サーバー認証

SSL では、もう 1 つのレベルの認証およびアクセス制御としてクライアント認証が行われます。 これによりサーバーはサーバー側でクライアントの証明書を検証できるため、クライアントがインストール時に承認された証明書を使用せずにセキュア接続を取得できなくなります。

クライアント認証

クライアント認証はオプションです。 これを使用すると、以下の 3 つのレベルの認証を提供します。

レベル 1

レベル 1 認証 はシステム SSL を使用します。 クライアントが SSL ハンドシェークの一部としてサーバーにデジタル証明書を渡します。 必要な認証を正常に通過するには、クライアント証明書の署名の認証局 (CA) が、サーバーによって信頼されている必要があります。 つまり、CA の証明書が、サーバーが信頼できるものとして使用および指定する鍵リングに含まれている必要があります。

レベル 2

レベル2の認証 （レベル1への追加）では、クライアント証明書を RACF® （またはその他のSAF準拠のセキュリティ製品）に登録し、有効なユーザーIDにマッピングする必要があります。 AT-TLSがSSLハンドシェイク中にクライアント証明書を受け取ると、 RACF に問い合わせ、証明書が有効なユーザーIDにマッピングされていることを確認してから、安全な接続を確立できるようにします。

レベル 2 クライアント認証は、サーバーで追加のアクセス制御を提供し、クライアントがサーバー・ホスト上で有効なユーザー ID を持つことが確実に認識されるようにします。

レベル 3

レベル 3 認証 (レベル 1 および 2に追加) は、クライアント証明書に関連付けられたユーザー ID に基づいて、サーバーへのアクセスを制限する機能を提供します。 クライアントがサーバーにアクセスできるのは、そのクライアント自体がサーバーで有効であり、そのクライアント証明書が有効であり、かつその証明書に関連付けられているユーザー ID が有効な場合です。 レベル3認証では、 RACF SERVAUTH 一般リソースクラスを使用して、クライアントのユーザーIDに基づいてサーバーへのアクセスを制限します。 SERVAUTH 一般リソース・クラスがアクティブではないか、またはサーバーの SERVAUTH プロファイルが定義されていない場合、AT-TLS ではこの認証レベルが要求されていないものと見なします。 ただし、SERVAUTH 一般リソース・クラスがアクティブであり、サーバーの SERVAUTH プロファイルが定義されている場合は、クライアント証明書に関連付けられているユーザー ID に対してサーバーの SERVAUTH プロファイルへのアクセスが許可されている場合に限り、リモート・セキュア接続が確立されます。 それ以外の場合は、セキュア接続は確立されず、接続自体がドロップされます。