サーバー認証の場合、サーバーには次のプロパティを持つ有効な証明書が必要です。
X509 型
サーバー認証に適しています
関連付けられている秘密キー
TN3270 サービスで使用されるサービス アカウントの個人用またはマイ証明書ストアに格納されている
既定では、TN3270 サーバーは、TN3270 サーバーを実行しているコンピューターのホスト名と一致する共通名 (CN) を持つ証明書を検索します。 この既定値は、レジストリ エントリを使用して変更できます。 詳細については、「 既定のサーバー認証証明書の共通名 (CN) の変更」を参照してください。
この証明書は、接続が確立されたときにハンドシェイク ネゴシエーションの一部としてクライアントに送信されます。 クライアントが証明書を受け入れるには、次の手順を実行します。
証明書 (およびその発行チェーン) は最新である必要があります (たとえば、有効な日付の範囲外ではありません)。
発行元チェーンは、クライアントの信頼されたルート CA リストに表示される証明機関 (CA) につながる必要があります。
証明書 (またはその発行元チェーンの一部) は、発行者の証明書失効リスト (CRL) には表示されません。
ほとんどのクライアントは厳密な証明書チェックを提供します。これを選択すると、サーバー証明書の共通名がホスト名と一致しない場合、接続が拒否されます。
注
サーバー上の証明書が変更された場合は、TN3270 サーバーを停止して再起動する必要があります。