对于服务器身份验证,服务器需要具有以下属性的有效证书:
类型 X509
适用于服务器身份验证
关联的私钥
存储在 TN3270 服务所使用的服务帐户的“个人”或“我的证书”存储中
默认情况下,TN3270 服务器将查找与运行 TN3270 服务器的计算机的主机名匹配的公用名 () CN 的证书。 可以使用注册表项更改此默认值。 有关详细信息,请参阅 更改默认服务器身份验证证书公用名 (CN) 。
建立连接后,此证书将作为握手协商的一部分发送到客户端。 让客户端接受证书:
例如,证书 (及其颁发链) 必须是当前 (,而不是在其有效日期) 之外。
颁发链必须导致证书颁发机构 (CA) 出现在客户端受信任的根 CA 列表中。
证书 (或其颁发链) 的任何部分不应出现在证书吊销列表中, (其颁发者的 CRL) 。
大多数客户端都提供严格的证书检查,如果服务器证书公用名称与其主机名不匹配,则选择该检查将拒绝连接。
注意
如果服务器上的证书已更改,则必须停止并重启 TN3270 服务器。