使用方法に関する注意
SSLMODEパラメータは、サーバーへの接続で使用される要求されたSSLMODEを指定します。
| 言語 | 変数名 |
|---|---|
| COBOL: | DBCAREA-SSLMODE |
| C: DBCAREA.H: | sslmode |
| ルーチン | 動作 |
|---|---|
| DBCHINI: | 書き込み |
| DBCHCL: | 読み取り(CON) |
| 使用者 | 動作 |
|---|---|
| アプリケーション プログラム | 書き込み |
アプリケーションは、SSLMODEをサーバーへの接続で使用する目的のsslmodeに設定します。サポートされる値は次のとおりです。
| 値 | 説明 |
|---|---|
| D | disable 非TLSポートを使用して暗号化されていない接続を確立する。clispb.datまたはDBCAREAでdata_encryption=Yが指定されている場合は、TeraGSS暗号化メカニズムが使用される。 |
| A | allow 非TLSポートを使用して暗号化されていない接続を確立する。clispb.datまたはDBCAREAでdata_encryption=Yが指定されている場合は、TeraGSS暗号化メカニズムが使用される。サーバーが非TLSポートでの接続を許可するように設定されているが、非TLSポートへの接続を試みて失敗した場合(タイムアウトなど)、接続の試みは失敗してエラーが返される。 これはCLIのデフォルト値である。 管理者により、非TLSポートが無効にされてTLSポートが有効にされたフォールバック シナリオでは、暗号化(TLS)接続が使用される。 |
| P | prefer サーバーがTLSをサポートして、TLSポートが有効になっている場合は、暗号化(TLS)接続を確立する。サーバーがTLSポートでの接続を許可するように設定されているが、TLSポートへの接続を試みて失敗した場合(タイムアウトなど)、接続の試みは失敗してエラーが返される。 次のフォールバック シナリオでは、非TLSポートへの暗号化されていない接続が使用される。
|
| R | require サーバーがTLS接続をサポートしている場合は、暗号化(TLS)接続を確立する。TLS接続を確立できない場合、接続の試行は失敗する。非TLSポートにフォールバックしないこと。 |
| C | verify-ca requireとほぼ同じだが、さらに、サーバーの認証局(CA)の証明書を設定された信頼できるCA証明書と照合して検証する。一致する有効なCA証明書が見つからない場合、接続の試みは失敗する。 |
| F | verify-full verify-caとほぼ同じだが、さらに、クライアントがサーバーへの接続に使用するホスト名を、サーバーがクライアントに送信する証明書のIDと照合して、ホスト名が正しいかどうかを検証する。クライアントは、接続に使用するホスト名が、サーバー証明書のサブジェクト代替名または共通名の値と一致するかどうかを確認する。 一致しない場合は接続に失敗する。暗号化接続の場合、このオプションは中間者攻撃の防止に役立つ。 verify-fullモードの場合、ホスト名は証明書のサブジェクト代替名の属性と照合されるか、種類が「DNS名」のサブジェクト代替名が存在しない場合は、共通名の属性と照合される。証明書の名前属性がアスタリスク(*)で始まる場合、アスタリスクはワイルドカードとして扱われるため、ドット(.)以外のすべての文字と一致する。つまり、この証明書はサブドメインとは一致しないことになる。ホスト名の代わりにIPアドレスを使用して接続を行なうと、(DNS検索は行なわれずに)IPアドレスが照合される。 |