TLS/SSL

Protoko�y TLS (Transport Layer Security) i SSL (Secure Sockets Layer) to dwa r�ne protoko�y komunikacyjne pozwalaj�ce aplikacjom na komunikowanie si� w bezpieczny spos�b za po�rednictwem Internetu przy u�yciu funkcji szyfrowania danych. Protok� TLS jest oparty na protokole SSL, ale r�ni si� od niego protoko�em wst�pnego nawi�zywania po��czenia i jest w wi�kszym stopniu rozszerzalny. Protoko�y TLS i SSL nie mog� ze sob� wsp�dzia�a�. Oznacza to, �e aplikacja korzystaj�ca z protoko�u TLS nie mo�e komunikowa� si� z aplikacj� u�ywaj�c� protoko�u SSL. Oba te protoko�y s� powszechnie u�ywane.

Negocjowana przez Telnet (tylko w sesjach terminalu lub drukarki 3270 albo w sesjach terminalu VT)
Okre�la, czy negocjacje ochrony mi�dzy klientem a serwerem Telnet przebiegaj� za po�rednictwem ustanowionego po��czenia Telnet, czy te� za po�rednictwem po��czenia TLS przed negocjacjami przy u�yciu protoko�u Telnet. Aby klient m�g� u�y� tej opcji, serwer Telnet musi obs�ugiwa� po��czenia Telnet oparte na protokole TLS. Pozosta�e opcje pozostaj� aktualne, niezale�nie od ustawienia tej opcji.

Uwierzytelnianie serwera
Zapewnia, �e bezpieczna sesja b�dzie nawi�zywana tylko wtedy, gdy nazwa internetowa serwera b�dzie si� zgadza� z nazw� zwyk�� umieszczon� w certyfikacie serwera. Opcja ta dzia�a tylko na kliencie zainstalowanym lokalnie oraz kliencie pobieranym za po�rednictwem protoko�u HTTPS.

Dodaj zestaw kluczy przegl�darki MSIE
Gdy ta opcja jest wybrana, klient programu Host On-Demand akceptuje o�rodki certyfikacji oznaczone jako zaufane w przegl�darce Microsoft Internet Explorer.

Poni�sze opcje s�u�� do konfiguracji procesu weryfikacji to�samo�ci klienta.

Wy�lij certyfikat
W��cza uwierzytelnianie klienta.  Je�eli wybrana jest opcja Nie, a serwer za��da certyfikatu klienta, serwer otrzyma odpowied� informuj�c� o braku certyfikatu klienta bez wy�wietlania monitu.

�r�d�o certyfikatu
Certyfikat mo�e by� przechowywany w przegl�darce klienta lub w dedykowanym urz�dzeniu zabezpiecze�, np. na karcie Smart Card.

Innym sposobem przechowywania certyfikatu jest zapisanie go na dysku lokalnym lub sieciowym w chronionym has�em pliku w formacie PKCS12 lub PFX.

Adres URL lub �cie�ka i nazwa pliku
Okre�la domy�lne po�o�enie certyfikatu klienta. Protoko�y URL, kt�re mo�na zastosowa�, zale�� od mo�liwo�ci przegl�darki. Wi�kszo�� przegl�darek obs�uguje protoko�y HTTP, HTTPS, FTP i FTPS.

Wybierz plik
Kliknij przycisk Wybierz plik, aby wy�wietli� okno dialogowe, kt�re umo�liwia przegl�danie lokalnego systemu plik�w w poszukiwaniu pliku z certyfikatem.

Konfiguracja
Otwiera okno dialogowe Konfiguracja obs�ugi szyfrowania, umo�liwiaj�ce okre�lenie parametr�w odnosz�cych si� do korzystania z karty Smart Card w wypadku uwierzytelniania klienta w systemie Linux (32-bitowa platforma Intel) w programie Host On-Demand.  Ten przycisk jest dost�pny na wszystkich platformach, tak �e Administrator mo�e skonfigurowa� nazw� modu�u szyfrowania, z kt�rego dany u�ytkownik b�dzie m�g� korzysta� na kliencie systemu Linux, przy czym podczas nawi�zywania po��czenia z tokenem szyfruj�cym u�ytkownik b�dzie musia� podawa� has�o.

Aby w programie Host On-Demand dzia�aj�cym w systemie Linux mo�na by�o korzysta� z kart Smart Card, opr�cz zainstalowania sterownik�w kart Smart Card i biblioteki PKCS11 dla sterownika, konieczne jest tak�e pobranie biblioteki PKS11 ze strony g��wnej programu HOD i dodanie do zmiennej �rodowiskowej LD_LIBRARY_PATH katalogu, w kt�rym umieszczono biblioteki wsp�u�ytkowane.

Ten przycisk jest dost�pny tylko wtedy, gdy jako �r�d�o certyfikatu wybrana jest opcja Przegl�darka lub urz�dzenie ochrony.

Obs�uga zastosowania klucza i rozszerzonego zastosowania klucza

Kluczowym wymaganiem ka�dego rozwi�zania jest mo�liwo�� automatycznego rozpoznania przez klient poprawnego certyfikatu uwierzytelniania znajduj�cego si� na karcie Smart Card, w przegl�darce lub w pliku p12 u�ytkownika i wykorzystania go bez konfiguracji ani udzia�u u�ytkownika. W tym celu w sesji nale�y skonfigurowa� w�a�ciwo�ci zastosowania klucza lub rozszerzonego zastosowania klucza.

Wyb�r zastosowania klucza

W tym oknie dialogowym s� wy�wietlane wszystkie zdefiniowane zastosowania kluczy identyfikator�w obiekt�w. Dost�pne s� nast�puj�ce karty:

• Zastosowanie klucza

  U�ytkownik mo�e wybra�, kt�re bity musz� by� ustawione w rozszerzeniu certyfikatu zastosowania klucza, aby certyfikat osobisty zosta� zakwalifikowany do u�ycia w sesji uwierzytelniania klienta.

• Rozszerzone zastosowanie klucza

  U�ytkownik mo�e wybra�, kt�re rozszerzone zastosowania klucza musz� by� wymienione w rozszerzeniu certyfikatu rozszerzonego zastosowania klucza, aby certyfikat osobisty zosta� zakwalifikowany do u�ycia w sesji uwierzytelniania klienta. Pozycje listy s� wy�wietlane jako opis (na przyk�ad Uwierzytelnianie klienta) wraz z identyfikatorem obiektu (na przyk�ad 1.2.3.4). Pole wyboru wskazuje, czy pozycja jest wybrana.

Dost�pne s� typowe pary opis�w i identyfikator�w obiekt�w. U�ytkownik mo�e doda� kolejne pary opis�w i identyfikator�w obiekt�w, klikaj�c opcj� Dodaj rozszerzone zastosowanie klucza.

Nazwa certyfikatu
Wybierz certyfikat z listy. Mo�na r�wnie� zaakceptowa� dowolny certyfikat, kt�remu ufa serwer.

Dodaj nazw� certyfikatu
Kliknij przycisk Dodaj nazw�, aby okre�li� kryteria wyboru certyfikatu klienta, takie jak nazwa zwyk�a, adres poczty elektronicznej, jednostka organizacyjna i organizacja, kt�re s� okre�lone w definicji certyfikatu.  (Ten przycisk jest dost�pny tylko na panelu konfiguracyjnym administratora).

Jak cz�sto pyta�
Ta lista rozwijana umo�liwia okre�lenie cz�stotliwo�ci wy�wietlania pytania o podanie certyfikatu klienta. �r�d�o certyfikatu klient�w okre�la kryteria wyboru dost�pnych pyta�. Jednak�e bez wzgl�du na �r�d�o certyfikatu zawsze s� dost�pne nast�puj�ce dwie opcje:

• Przy ka�dym nawi�zaniu po��czenia - pytanie dla klienta jest wy�wietlane za ka�dym razem, gdy zostanie nawi�zane po��czenie z serwerem.
• Przy nawi�zaniu pierwszego po��czenia po uruchomieniu programu HOD - pytanie dla klienta jest wy�wietlane w chwili nawi�zania pierwszego po��czenia w okre�lonej sesji.

Je�li �r�d�o certyfikatu to przegl�darka lub urz�dzenie ochrony, u�ytkownik ma do dyspozycji dwie dodatkowe opcje:

• Tylko raz, podczas zapisywania preferencji na komputerze klienta - pytanie jest wy�wietlane za pierwszym razem, gdy zostanie nawi�zane po��czenie. Bez wzgl�du na liczb� sesji uruchomionych w czasie dzia�ania programu Host On-Demand na kliencie z wieloma sesjami, na kt�rym b�dzie ustawiona ta opcja, pytanie zostanie wy�wietlone tylko raz. (Je�li jednak pr�ba ustanowienia po��czenia nie powiedzie si�, zostanie wy�wietlony dodatkowy monit dla u�ytkownika).
• Nie pytaj - wy��cza wy�wietlanie pyta� programu Host On-Demand, lecz nie wy��cza wy�wietlania pyta� pochodz�cych z przegl�darki lub urz�dzenia ochrony.

Aktualnie opcja ta jest obs�ugiwana jedynie przez przegl�dark� Microsoft Internet Explorer.

Je�li �r�d�em certyfikatu jest adres URL lub plik lokalny, a na klientach preferencje u�ytkownik�w s� zapisane lokalnie, dost�pne b�d� dodatkowe opcje:

• Tylko raz, podczas zapisywania preferencji na komputerze klienta - pytanie jest wy�wietlane za pierwszym razem, gdy zostanie nawi�zane po��czenie. Bez wzgl�du na liczb� sesji uruchomionych w czasie dzia�ania programu Host On-Demand na kliencie z wieloma sesjami, na kt�rym b�dzie ustawiona ta opcja, pytanie zostanie wy�wietlone tylko raz. (Je�li jednak pr�ba ustanowienia po��czenia nie powiedzie si�, zostanie wy�wietlony dodatkowy monit dla u�ytkownika).
• Tylko raz dla ka�dego certyfikatu - pytanie jest wy�wietlane na kliencie tylko za pierwszym razem, gdy zostanie nawi�zane po��czenie. Na kliencie, na kt�rym uruchomionych jest wiele sesji i jest wybrana ta opcja, zostanie wy�wietlone tylko jedno pytanie bez wzgl�du na liczb� aktywnych sesji, dop�ki ten sam certyfikat b�dzie mia� zastosowanie wzgl�dem tych sesji. (Je�li jednak pr�ba ustanowienia po��czenia nie powiedzie si�, zostanie wy�wietlony dodatkowy monit dla u�ytkownika).

Je�li �r�d�em certyfikatu jest adres URL lub plik lokalny, a na klientach nie s� zapisane lokalnie preferencje u�ytkownik�w, dost�pna b�dzie dodatkowa opcja:

• Tylko raz dla ka�dego certyfikatu - pytanie jest wy�wietlane na kliencie tylko za pierwszym razem, gdy zostanie nawi�zane po��czenie. Na kliencie, na kt�rym uruchomionych jest wiele sesji i jest wybrana ta opcja, zostanie wy�wietlone tylko jedno pytanie bez wzgl�du na liczb� aktywnych sesji, dop�ki ten sam certyfikat b�dzie mia� zastosowanie wzgl�dem tych sesji. (Je�li jednak pr�ba ustanowienia po��czenia nie powiedzie si�, zostanie wy�wietlony dodatkowy monit dla u�ytkownika).

Pobierz certyfikat przed nawi�zaniem po��czenia
Klikni�cie przycisku Tak spowoduje, �e klient uzyska dost�p do swojego certyfikatu przed nawi�zaniem po��czenia z serwerem, bez wzgl�du na to, czy serwer b�dzie ��da� certyfikatu, czy nie. Je�li zostanie klikni�ta opcja Nie, klient uzyska dost�p do certyfikatu dopiero po uzyskaniu ��dania od serwera; w zale�no�ci od ustawienia pozosta�ych opcji mo�e nast�pi� wymuszenie nieprawid�owego zako�czenia po��czenia mi�dzy klientem a serwerem, wy�wietlenia pytania dla u�ytkownika, a nast�pnie ponownego ustanowienia tego po��czenia.

Blokada (dotyczy tylko administrator�w programu Host On-Demand)
Za pomoc� opcji Blokada mo�na uniemo�liwi� u�ytkownikom zmienianie przypisanej warto�ci pocz�tkowej dla danej sesji. U�ytkownicy nie mog� zmienia� warto�ci wi�kszo�ci p�l, poniewa� s� one dla nich niedost�pne. Mo�na jednak zmienia� funkcje dost�pne na pasku menu i pasku narz�dzi.

Tematy pokrewne:

• Jak dzia�a ochrona TLS i SSL
• Konfigurowanie ochrony TLS i SSL
• Ochrona negocjowana przy u�yciu protoko�u Telnet - przegl�d
• Ochrona negocjowana przy u�yciu protoko�u Telnet
• Konfigurowanie ochrony negocjowanej przy u�yciu protoko�u Telnet
• Uwierzytelnianie klienta