サーバのホスト鍵がクライアント上に存在するかどうかを確認したり、そのフィンガープリントを表示したりできます。ホスト鍵を確認するには、[ホスト] フィールドにサーバの名前、[ポート番号] フィールドにリスナー ポート番号を入力して [チェック] をクリックします。

ワイルドカード文字は使用できません。

ホスト鍵の場所と公開鍵のフィンガープリントがダイアログ ボックスに表示されます。フィンガープリントは SSH Babble 形式で表示されます。これは、ダッシュで区切られた小文字 5 文字からなる読み上げ可能な一連の単語で構成されています。以下の例を参照してください。

図 4.29. サーバの公開ホスト鍵の情報

サーバのホスト鍵の詳細については、公開鍵を使用したサーバの認証項を参照してください。

ユーザ固有のホスト鍵ディレクトリに新しいホスト鍵を追加するには、[ユーザ鍵追加] ボタンをクリックします。コンピュータ上のすべてのユーザに共通のディレクトリに新しいホスト鍵を追加するには、[グローバル鍵追加] ボタンを使用します。Connection Broker でファイル マネージャが表示されます。ここで適切な場所を指定し、ホスト鍵ディレクトリにコピーする鍵を選択できます。

サーバの公開鍵を削除する場合は、[ホスト] フィールドにサーバの名前、[ポート番号] フィールドにリスナー ポート番号を入力して [削除] をクリックします。

ホスト鍵の削除を実行するか中止するかを確認するダイアログ ボックスが表示されます。

ホスト鍵を接続時にホスト鍵ディレクトリに保存せず、ホスト鍵が変更された場合に接続を自動的に拒否するように定義するには、[厳密なホスト鍵チェック] チェック ボックスを選択します。[厳密なホスト鍵チェック] が無効 (デフォルト) の場合、SSH Tectia Client は変更されたホスト公開鍵と新しいホスト公開鍵についての警告と鍵のフィンガープリントをイベント ビューアのログに記録します。

ユーザに確認を求めずに、新しいホスト鍵を受け入れて保存するように定義するには、[未知のホスト鍵を受け入れる] チェック ボックスを選択します。ただし、変更されたホスト鍵が受け入れられるのは現在の接続に関してのみであり、ホスト鍵データベースには保存されません。変更されたホスト鍵が提供されたときは、警告メッセージが表示されます。受け入れたすべてのホスト鍵についての情報がログに記録されます。

	警告
	[未知のホスト鍵を受け入れる] は、事前によく検討してから有効にしてください。ホスト鍵チェックを無効にすると、中間者攻撃に対して脆弱になる可能性があります。

ホスト鍵が既知の場合も含め、ホスト鍵を受け入れるかどうかを常にユーザに確認するように定義するには、[ホスト鍵確認を常に表示] チェック ボックスを選択します。

ホスト鍵オプションはデフォルトでは無効です。

証明書失効リスト (CRL) の使用を無効にするには、[無効] チェック ボックスを選択します。CRL は、使用されているサーバ証明書のいずれかが失効していないかどうかをチェックするために使用されます。

	注意
	CRL チェックを無効化するとセキュリティ上のリスクとなるため、テスト目的を除き無効化しないことをお勧めします。

OCSP レスポンダ サービスは、証明書の有効性状態についてのリアルタイム情報を OCSP (Online Certificate Status Protocol) を使用して取得するための制御ポイントをクライアント アプリケーションに提供します。

OCSP を正しく検証するには、エンド エンティティ (SecureShell サーバ) 証明書および OCSP レスポンダ証明書の両方を同じ CA によって発行する必要があります。証明書に OCSP レスポンダの URL を含む Authority Info Access 拡張が記述されている場合、この証明書は、OCSP レスポンダが設定されていない場合にのみ使用されます。OCSP レスポンダが設定されている場合は使用されません。

OCSP レスポンダが設定ファイルまたは証明書で定義されている場合は、証明書の検証で最初に使用されます。検証に失敗した場合、通常の CRL チェックが行われます。これにも失敗した場合、証明書の検証に失敗したという結果が返されます。

クライアントでサーバのホスト名または IP アドレスを、サーバのホスト証明書に指定された [サブジェクト] または [サブジェクトの別名] (DNS アドレス) と照合して検証するかどうかを指定します。デフォルトでは、[エンドポイント同一性チェック] は有効になっています。

このチェック ボックスが選択されていない場合、サーバ ホスト証明書内のフィールドは検証されず、有効期間と CRL チェックのみに基づいて証明書が受け入れられます。

	警告
	クライアントでのエンドポイント同一性チェックを無効にすることはセキュリティ上危険です。無効にすると、サーバ ホスト証明書の発行元と同一の信頼された CA によって発行された証明書を持っている者が、サーバに対して中間者攻撃を実行できることになります。

このエレメントによって、証明書が DOD PKI (米国国防総省公開鍵基盤) に準拠する必要があるかどうかを定義します。

エンドポイント同一性チェックで使用されるデフォルト ドメインを指定します。これはリモート システム名のデフォルト ドメインの部分であり、システム名の基本部分のみが利用可能な場合に使用されます。

デフォルト ドメインを指定しないと、たとえば、証明書に完全な DNS アドレス「tower.example.com」が指定されているときに、ユーザが短いホスト名で「tower」と指定してホストに接続しようとした場合に、エンドポイント同一性チェックに失敗します。

証明書の有効性を検証するための LDAP または OCSP クエリの実行時に使用する HTTP プロキシを指定します。

アドレスの形式は「http://username@proxy_server:port/network/netmask,network/netmask...」です。network/netmask の部分は省略可能であり、(プロキシなしで) 直接接続されるネットワークを定義します。

証明書の有効性を検証するための LDAP または OCSP クエリの実行時に使用する SOCKS サーバを指定します。

アドレスの形式は「socks://username@socks_server:port/network/netmask,network/netmask...」です。network/netmask の部分は省略可能であり、(SOCKS サーバなしで) 直接接続されるネットワークを定義します。