配置 Z and I Emulator for Windows 会话安全性
无论您配置的是 TN3270、TN5250 还是 VT 会话,底层协议必须是 TCP/IP。使用以下过程来启用安全性:
- 从“会话管理器”启动工作站概要文件;或者从活动会话中单击Configure from the Communication menu。打开对话框后,单击配置。
- 在“定制通信”面板上,为所需的 Telnet 主机选择合适的主机类型、接口和连接值。
- 单击链接参数。
- 在主机定义 property page 上,执行以下操作:
- 在主要选项下指定正常的主机名和 LU 参数。
- 在主要选项下指定端口号。这可能不是 Telnet 的缺省端口值。目标服务器的管理员可能已设置了特定的端口号来处理 TLS/SSL 服务。
- 在安全性设置 property page 上,检查启用安全性。
仅对服务器认证,不需要其他设置。关于客户机认证,进入下一步。
- 对于 3270 会话,选择 Telnet 协商选项,以让 Z and I Emulator for Windows 与 Telnet 3270 服务器就安全性进行协商。请参阅 Telnet 协商安全性 以获取详细信息。如果未选中“启用安全性”,那么无法选择“Telnet 协商”选项。
- 在安全性设置 property page 上,选择 Microsoft CryptoAPI (MSCAPI) 安全性包。注: 为避免需要手动将主机证书添加到 Microsoft 证书库中,请参阅通过证书验证。
- 为防御 RC4 流密码中的安全漏洞,联邦信息处理标准 (FIPS) 方式已成为强制性标准。
对于 MSCAPI,请参阅供应商文档以获取最新信息。
注: 执行以下步骤以在Windows® 8、Windows® 8.1、Windows® 10、Windows® Server 2008 和 Windows® Server 2012 上启用 AES 支持与 MSCAPI。- 通过管理员帐户来打开组策略编辑器 (gpedit.msc)。
- 选择计算机配置->管理模板->网络->SSL 配置设置。
- 打开 SSL 密码套件顺序并选择已启用。
- 根据组织需求更改密码顺序,保存这些更改,然后重新引导系统以应用上述更改。
- 启用检查服务器名称和证书名称匹配,使会话通过匹配服务器名称与主机或服务器证书名称来认证服务器。服务器和证书名称必须完全匹配。对于 MSCAPI 会话,如果证书名称和服务器名称不匹配,那么将返回一个错误。
- 在客户机认证组框中,确定何时和如何选择发送给服务器的客户机证书。
如果要启用客户机认证,并在请求时将密钥数据库文件中的个人客户机证书发送给服务器,那么选中如果请求将个人证书发送给服务器。
- 发送服务器信任的个人证书
- 如果不希望提示从密钥数据库文件中选择个人客户机证书,那么选择该选项。Z and I Emulator for Windows 将发送服务器信任的个人客户机证书。
- 发送基于密钥用法的个人证书。
- 使用该选项以选择一个或多个密钥用法。单击密钥用法以选择定义了对象标识 (OID) 的密钥用法。转至扩展的密钥使用面板,向列表添加新的 OID 和说明。
在认证时,Z and I Emulator for Windows 会基于您选择的密钥用法来选择用于客户机认证的证书。如果证书的“增强密钥用法”属性包含一个或多个您指定的 OID,那么可以合法使用该证书。
如果未发现合格的证书,那么认证失败。如果发现一个合格的证书,那么自动使用它。如果查找到两个或多个合法的证书,那么将提示您选择一个个人客户机证书。
- 选择或提示个人客户机证书
- 如果您想要选择个人客户机证书,那么使用该选项。当服务器要求客户机证书时,会提示您在建立会话期间选择一个个人客户机证书。
要在配置期间预先选择个人客户机证书,请单击立即选择并选择个人证书标签。
- 通过主机证书验证
- 使用此选项可禁用 TLS 握手期间的缺省证书验证过程。仅适用于 Microsoft schannel 提供者。注: 缺省情况下,Schannel (MSCAPI) 负责验证 TLS 握手期间收到的主机证书链。Schannel 将对接收到的证书链执行多项检查,其中一项是验证附加到证书的签名是否有效,即检查基于证书内容计算出的散列值与使用颁发者公共组件来解密签名字段而得到的值是否匹配。要执行此操作,用户必须拥有颁发者的公共组件,这可以通过某些可确保完整性的渠道获得,或是通过从另一个(已验证)证书中抽取得到。缺省的证书验证过程十分详尽,并且会对主机证书链执行多项检查以便成功验证。通过启用此选项,用户将有效禁止由 schannel 完成的缺省验证,并且不会验证主机的身份。建议不要使用此选项。