Configuration de la sécurité des sessions Z and I Emulator for Windows

Que vous configuriez une session TN3270, TN5250 ou VT, le protocole sous-jacent doit être TCP/IP. Utilisez la procédure suivante pour activer la sécurité :
  1. Démarrez un profil de poste de travail à partir du Session Manager ou, à partir d'une session active, cliquez sur Configure dans le menu Communication. Lorsque la boîte de dialogue s'ouvre, cliquez sur Configure.
  2. Dans le panneau Customize Communication, choisissez les valeurs Type of Host, Interface et Attachement appropriées pour l'hôte Telnet souhaité.
  3. Cliquez sur Link Parameters.
  4. Sur la page des propriétés Host Definition, procédez comme suit :
    1. Spécifiez le nom d'hôte normal et les paramètres LU sous Primary.
    2. Spécifiez le numéro de port sous Primary. Il est probable que ce ne soit pas la valeur de port par défaut pour Telnet. L'administrateur du serveur de destination a peut-être configuré un numéro de port spécifique pour gérer le service TLS/SSL.
  5. Sur la page des propriétés Security Setup, cochez Enable Security.

    Pour l'authentification du serveur uniquement, aucune configuration supplémentaire n'est requise. Pour l'authentification client, passez à l'étape suivante.

  6. Pour les sessions 3270, sélectionnez l'option Telnet-negotiated pour avoir une sécurité négociée avec Z and I Emulator for Windows avec le serveur Telnet 3270. Pour plus de détails, voir Sécurité Telnet négociée. Si la case Enable Security n'est pas cochée, l'option négociée avec Telnet ne peut pas être sélectionnée.
  7. Sur la page des propriétés Security Setup, sélectionnez le package de sécurité Microsoft CryptoAPI (MSCAPI).
    Note : Pour éviter d'avoir à ajouter manuellement un certificat hôte dans le magasin de certificats Microsoft, reportez-vous à Pass Through Certificate Validation.
  8. Pour se protéger contre les vulnérabilités de sécurité dans le chiffrement de flux RC4, le mode FIPS (Federal Information Processing Standard) a été rendu obligatoire.

    Pour MSCAPI, reportez-vous à la documentation du fournisseur pour obtenir les dernières informations.

    Note : Suivez les étapes ci-dessous pour activer la prise en charge AES avec MSCAPI sur Windows® 8, Windows® 8.1, Windows® 10, Windows® Server 2008 et Windows® Server 2012.
    1. Depuis un compte administrateur, ouvrez Group Policy Editor (gpedit.msc).
    2. Choisissez Computer Configuration->Administrative Templates->Network->SSL Configuration Settings.
    3. Ouvrez SSL Cipher Suite Order et sélectionnez Enabled.
    4. Modifiez l'ordre de chiffrement selon les besoins de votre organisation, enregistrez les modifications et REDÉMARREZ le système pour que les modifications ci-dessus s'appliquent.
    Il est important de noter que le client ne peut présenter au serveur qu'une liste de chiffrements prioritaires. L'hôte a le dernier mot sur le chiffrement sélectionné pour la session. Lors du choix d'un algorithme avec une longueur de bit spécifique, une considération importante est de se rappeler que le chiffrement et le déchiffrement sont des opérations gourmandes en CPU qui prennent du temps en fonction de la taille de la clé. Dans presque tous les cas, une clé de 128 bits est plus que suffisante pour protéger les informations que vous échangez via vos connexions Telnet.
  9. Activez Check for Server Name and Certificate Name Match pour que la session authentifie le serveur en faisant correspondre le nom du serveur au nom de l'hôte ou du certificat du serveur. Les noms du serveur et du certificat doivent correspondre exactement. Pour les sessions MSCAPI, si le nom du certificat et le nom du serveur ne correspondent pas, une erreur est renvoyée.
  10. Dans la zone de groupe Client Authentication, vous déterminez quand et comment le certificat client sera choisi pour être envoyé au serveur.

    Si vous souhaitez activer l'authentification client et envoyer le certificat client personnel du fichier de base de données de clés au serveur lorsque cela est demandé, cochez Send Personal Certificate to Server if Requested.

    Send Personal Certificate Trusted by Server
    Sélectionnez cette option si vous ne souhaitez pas être invité à sélectionner un certificat client personnel à partir d'un fichier de base de données de clés. Z and I Emulator for Windows enverra le certificat client personnel approuvé par le serveur.
    Send Personal Certificate based on Key Usage
    Utilisez cette option pour sélectionner une ou plusieurs utilisations clés. Cliquez sur Key Usage pour sélectionner les utilisations des clés d'ID d'objet (OID) définies. Accédez au panneau Extended Key Usage pour ajouter un nouvel OID et une nouvelle description à la liste.

    Au moment de l'authentification, Z and I Emulator for Windows choisit les certificats pour l'authentification client, en fonction de l'utilisation de la clé que vous sélectionnez. Si un attribut de certificat Utilisation de clé étendue contient un ou plusieurs OID définis, le certificat peut être utilisé.

    Si aucun certificat éligible n'est trouvé, l'authentification échoue. Si un certificat éligible est trouvé, il est automatiquement utilisé. Si deux certificats éligibles ou plus sont trouvés, vous serez invité à sélectionner un certificat client personnel.

    Select or Prompt for Personal Client Certificate
    Utilisez cette option si vous souhaitez choisir le certificat client personnel. Vous serez invité à sélectionner un certificat client personnel lors de l'établissement de la session, lorsque le serveur demandera le certificat client.

    Pour présélectionner un certificat client personnel lors de la configuration, cliquez sur Select now et choisissez Personal Certificate Label.

    Pass Through Host Certificate Validation
    Utilisez cette option pour désactiver le processus de validation du certificat par défaut lors de l'établissement de liaison TLS. Applicable uniquement au fournisseur Microsoft Schannel.
    Note : Par défaut, Schannel (MSCAPI) est responsable de la validation de la chaîne de certificats hôte reçue lors de l'établissement de liaison TLS. Schannel exécute plusieurs contrôles sur la chaîne de certificat reçue, dont l'un vérifie que la signature apposée sur le certificat est valide, c'est-à-dire que la valeur de hachage calculée sur le contenu du certificat correspond à la valeur résultant du déchiffrement du champ de signature à l'aide du composant public de l'émetteur. Pour effectuer cette opération, l'utilisateur doit posséder le composant public de l'ISS soit via un canal dont l'intégrité est garantie, soit en l'extrayant d'un autre certificat (validé). Le processus de validation du certificat par défaut est exhaustif et exécute plusieurs contrôles sur la chaîne de certificat hôte afin de la valider avec succès. En activant cette option, l'utilisateur supprime en réalité la validation par défaut effectuée par Schannel et l'identité de l'hôte n'est pas vérifiée. L'utilisation de cette option n'est pas recommandée.