TLS/SSL

TLS (Transport Layer Security) e SSL (Secure Sockets Layer) são dois protocolos de comunicação diferentes que permitem que os aplicativos se comuniquem de forma segura na Internet utilizando criptografia de dados. O TLS baseia-se no SSL, mas possui um protocolo de reconhecimento inicial diferente e é mais extensível. O TLS e o SSL não são interoperáveis. Isto é, um aplicativo que utiliza TLS não pode se comunicar com um aplicativo que executa SSL. Ambos os protocolos são amplamente utilizados.

Negociada pelo Telnet (Apenas Sessões de Exibição/Impressora 3270, VT)
Determina se as negociações de segurança entre o cliente e o servidor Telnet serão feitas na conexão Telnet estabelecida ou em uma conexão TLS anterior à negociação pelo Telnet. Para que o cliente utilize esse recurso, o servidor Telnet deve suportar a segurança do Telnet baseada no TLS. As outras opções são válidas independente da opção Negociada pelo Telnet estar definida como Sim ou Não.

Autenticação do Servidor
Assegura que uma sessão segura seja estabelecida somente se o nome da Internet do servidor corresponder ao nome comum no certificado do servidor. Isso tem efeito apenas em um cliente instalado localmente ou em um cliente cujo download foi efetuado via HTTPS.

Adicionar Conjunto de Chaves do Navegador MSIE
Quando essa opção é selecionada, o cliente Host On-Demand aceita autoridades de certificação confiáveis pelo navegador Microsoft Internet Explorer.

As opções a seguir são utilizadas para especificar o tratamento da autenticação do cliente.

Enviar um Certificado
Ativa a Autenticação do Cliente.  Se você clicar em Não e o servidor solicitar um certificado do cliente, o servidor será informado de que o certificado do cliente está disponível e o usuário não será avisado.

Origem do Certificado
O certificado pode ser mantido no navegador do cliente ou em um dispositivo de segurança dedicado, como um smart card.

Como alternativa, ele pode ser mantido em um arquivo acessado pela rede ou local, no formato PKCS12 ou PFX, protegido por uma senha.

URL ou Caminho e Nome do Arquivo
Especifica a localização padrão do certificado de cliente. Os protocolos de URL que podem ser utilizados dependem das capacidades de seu navegador. A maioria dos navegadores suportam HTTP, HTTPS, FTP e FTPS.

Selecionar Arquivo
Clique em Selecionar Arquivo para procurar o sistema de arquivos local para o arquivo que contém o certificado.

Configuração
Abre o diálogo Configuração de Suporte Criptográfico onde é possível especificar parâmetros para utilizar um smart card para autenticação de cliente no Linux (plataforma Intel de 32 bits) no Host On-Demand.  Esse botão é acessível em todas as plataformas para que o Administrador possa configurar o nome do módulo criptográfico para uso do usuário no cliente Linux, no entanto, o usuário deve fornecer a senha ao conectar-se ao token criptográfico.

Para o Host On-Demand funcionar com smart cards no Linux, além de instalar os drivers de smart cards e a biblioteca PKCS11 para o driver; também é necessário fazer download da biblioteca PKS11 da página HODMain e configurar a variável de ambiente LD_LIBRARY_PATH para incluir o diretório em que as bibliotecas compartilhadas residem.

Esse botão estará disponível apenas quando o Navegador ou a opção do dispositivo de segurança estiver selecionada como a Origem do Certificado.

Suportar o uso de chave e o uso de chave estendida

É um requisito chave para qualquer solução o cliente poder reconhecer e utilizar automaticamente o certificado de autenticação correto no cartão inteligente, navegador ou arquivo p12 do usuário sem a configuração ou a intervenção do usuário; para fazer isso, precisamos configurar a sessão com as propriedades Uso de Chave ou Uso de Chave Estendida.

Selecionar uso de chave

O diálogo exibe todas os usos definidos da chave do OID (Object ID). As guias a seguir ficam disponíveis:

• Uso da Chave

  Você pode escolher quais os bits que devem ser definidos na extensão do certificado de Uso da Chave, para que um certificado pessoal seja autorizado para utilização em uma sessão de autenticação de cliente.

• Uso de chave estendida

  Você pode escolher quais os usos de chaves estendidas devem ser listadas na extensão do certificado de Uso de Chave Estendida, para que um certificado pessoal seja adequado para utilização em uma sessão de autenticação de cliente. Os itens da lista aparecem como uma descrição (por exemplo, Autenticação de cliente), junto com um identificador de objeto (OID) (por exemplo, 1.2.3.4). Uma caixa de opções indica se o item foi selecionado.

Descrições comuns e pares de OID estão disponíveis. Você pode incluir mais descrições e pares de OID clicando em Incluir Uso de Chave Estendida

Nome do Certificado
Selecione um certificado da lista. Você também pode aceitar qualquer certificado confiável pelo servidor.

Adicionar Nome do Certificado
Clique em Incluir Nome para especificar os parâmetros para escolher um certificado do cliente, incluindo o nome comum, endereço de e-mail, organizational unit e organização utilizados para defini-lo.  (Esse botão estará disponível somente no painel de configuração do administrador.)

Com que Frequência Avisar
Essa caixa drop-down permite controlar a frequência de avisos para certificados do cliente. A origem do certificado de seus clientes determina a seleção de avisos disponíveis. É possível considerar as duas opções a seguir como constantes; elas estão sempre disponíveis, independente da origem do certificado:

• Em cada conexão - Avisa o cliente cada vez que é feita uma conexão com o servidor (Se uma Janela do terminal estiver aberta, a senha será solicitada ao usuário apenas para a primeira conexão. Depois disso, a senha não será solicitada ao usuário para tentativas de conexão sucessivas).
• A primeira vez que o HOD é iniciado - Avisa o cliente na primeira vez que é feita uma conexão especificamente para essa sessão.

Se a origem do certificado for Navegador ou dispositivo de segurança, você terá duas opções adicionais:

• Apenas uma vez, armazenando preferências no cliente - Avisa o cliente na primeira vez que é feita uma conexão. Apesar do número de sessões iniciadas enquanto o Host On-Demand está ativo, um cliente com várias sessões definidas para esta opção recebe apenas um aviso. (Se uma tentativa de conexão falhar, no entanto, o cliente receberá outro aviso.)
• Não avisar - Desativa o aviso do Host On-Demand, mas não do navegador ou do dispositivo de segurança.

Atualmente, isso é verdadeiro apenas para o Microsoft Internet Explorer.

Se a origem do certificado for URL ou arquivo local e seus clientes armazenarem preferências do usuário localmente, você terá duas opções adicionais:

• Apenas uma vez, armazenando preferências no cliente - Avisa o cliente na primeira vez que é feita uma conexão. Apesar do número de sessões iniciadas enquanto o Host On-Demand está ativo, um cliente com várias sessões definidas para esta opção recebe apenas um aviso. (Se uma tentativa de conexão falhar, no entanto, o cliente receberá outro aviso.)
• Apenas uma vez, para cada certificado - Avisa o cliente na primeira vez que é feita uma conexão. Um cliente com várias sessões definidas para esta opção recebe apenas um aviso, apesar do número de sessões iniciadas, desde que o mesmo certificado se aplique a essas sessões. (Se uma tentativa de conexão falhar, no entanto, o cliente receberá outro aviso.)

Se a origem do certificado for URL ou arquivo local e seus clientes não armazenarem preferências do usuário localmente, você terá uma opção adicional:

• Apenas uma vez, para cada certificado - Avisa o cliente na primeira vez que é feita uma conexão. Um cliente com várias sessões definidas para esta opção recebe apenas um aviso, apesar do número de sessões iniciadas, desde que o mesmo certificado se aplique a essas sessões. (Se uma tentativa de conexão falhar, no entanto, o cliente receberá outro aviso.)

Recuperar Certificado antes de se Conectar
Se você clicar em Sim, o cliente acessará seu certificado antes de conectar o servidor, independentemente de o servidor solicitar ou não um certificado. Se clicar em Não, o cliente apenas acessará o certificado depois que o servidor solicitá-lo; dependendo de outras definições, isso pode forçar o cliente a finalizar anormalmente a conexão com o servidor, avisar o usuário e, em seguida, reconectar-se.

Bloquear (Apenas administrador do Host On-Demand)
Selecione Bloquear para evitar que os usuários alterem o valor de inicialização associado a uma sessão. Os usuários não podem alterar valores para a maioria dos campos porque os campos não estão disponíveis. No entanto, as funções acessadas a partir do menu da sessão ou da barra de ferramentas podem ser alteradas.

Usar Jsse
É possível ativar esta opção para se conectar com segurança usando TLS v1.0, TLS v1.1 e TLS v1.2, que usam Java Secure Socket Extension (JSSE). Para usar esta opção, a versão do JRE (IBM ou Oracle) deve ser V7 ou mais recente. No JRE V6 ou anterior, é possível configurar uma sessão para usar JSSE, mas a sessão baseada em JSSE pode ser executada apenas com o JRE V7 ou mais recente.

Versão TLS
Selecione TLS v1.0, TLS v1.1 ou TLS v1.2 conforme apropriado. Quando uma dessas opções é selecionada, todos os protocolos de versão inferior a partir do TLS v1.0 são ativados. Esta opção estará ativada por padrão e o TLSv1.2 será selecionado.

Modo FIP
Quando o módulo SSLite está em uso, é possível ativar esta opção para que o HOD use módulos de criptografia compatíveis com FIPS 140-2.

Nota: esta opção não está disponível no nível da sessão quando a opção 'Usar JSSE' está ativada. O Modo Fips é ativado por padrão ao usar o IBM Java e JSSE com armazenamento confiável jks. Ele pode ser desativado por meio da configuração do valor de parâmetro html 'FipsMode' para false.

Tópicos relacionados

• Como a segurança do TLS e do SSL funciona
• Configurando o TLS e o SSL
• Visão geral da segurança negociada pelo Telnet
• Segurança negociada para Telnet
• Configurando a segurança negociada pelo Telnet
• Autenticação do Cliente