Explorer 연결에 대한 SSL 보안

필요한 경우 SSL(Secure Sockets Layer) 프로토콜을 사용하여 CICS Explorer®와 CICS® 시스템 간 연결에 대해 보안을 설정할 수 있습니다. CICS Explorer와 CICS 시스템 간 연결에 대해 보안을 설정하기 위해 적용되는 보안 및 인증서 관리 환경 설정을 지정한 후 각 CICS 시스템 연결을 구성할 때 보안을 사용하는지 여부를 지정하십시오.

보안 및 인증서 관리 환경 설정

기본적으로 인증서 관리는 CICS Explorer를 위해 사용으로 설정되어 있습니다.

Java™ 7에는 향상된 보안이 포함되므로 CICS Explorer는 이제 STRONG 암호화를 사용하여 구성된 TCP/IP 서비스에만 연결됩니다. CICS는 기본적으로 강력한 암호화를 사용합니다. CICS에서 제공하는 MEDIUM 레벨의 암호화는 더 이상 호환되지 않습니다. 암호화 레벨로 MEDIUM을 사용하여 CICS Explorer 버전 5.1 이상을 CICS 리젼에 연결하려고 하면 다음 오류가 발생합니다.
  • CICS Explorer에서: IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
  • 작업 로그에서: DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

환경 설정 창에서 보안 및 인증서 관리 분할창을 사용하면 신뢰 확인을 켜거나 꺼서 인증서의 키 저장소를 정의할 수 있고 스마트 카드 액세스를 구성할 수 있습니다.

보안 및 인증서
관리 대화 상자

보안 및 인증서 관리 분할창을 사용하면 키 저장소신뢰 저장소를 정의하고 스마트 카드를 구성할 수 있습니다.
  • 키 저장소는 사용자를 인증하기 위해 다른 시스템에 제출하는 인증서가 들어 있는 암호화된 파일입니다.
  • 신뢰 저장소는 서버를 신뢰할 수 있는지 확인하기 위해 사용되는 SSL 인증서가 있는 일종의 키 저장소입니다. 신뢰 저장소는 중앙 위치에 둘 수 있습니다.
  • 스마트 카드 또는 CAC(공통 액세스 카드)는 물리적 카드에 보관된 키 저장소입니다. 이 카드를 PC의 리더기에 삽입하고, 이 카드에는 사용자를 호스트 서버에 인증하는 데 사용되는 인증서가 포함되어 있습니다. 스마트 카드에 액세스하기 위한 호환 가능한 드라이버를 설치해야 하니다. 디스크 또는 Windows에서 특정 PKCS11 드라이버를 구성하거나 운영 체제 암호화 지원을 사용하십시오.
디스크의 키 저장소 또는 스마트 카드에서 선택한 인증서를 사용하여 연결하려면 호스트 연결 보기에서 적절한 유형의 새 신임 정보를 작성해야 합니다.

연결 조정 중 사용되는 일부 프로토콜의 명시적 제어를 제공하는 선택적 매개변수를 사용할 수도 있습니다. 조직의 키 저장소에 대한 정보는 네트워크 관리자에게 문의하십시오.

CICS Explorer에서는 사용자의 작업공간에서 키 저장소와 신뢰 저장소 모두의 역할을 할 수 있는 기본 키 저장소를 제공합니다. 신뢰 저장소의 기본 비밀번호 문구는 changeit입니다.

참고: 네트워크 관리자의 지시가 있는 경우가 아니면 보안 소켓 프로토콜기본값 그대로 두십시오. 기본값으로 설정되면 CICS Explorer가 서버와의 가장 안전한 연결을 자동으로 조정합니다.

추가 정보는 SSL 보안 및 인증서 관리의 내용을 참조하십시오.

CICS 시스템 연결 구성

CICS 시스템 연결을 구성할 때 연결 추가 창에는 연결에 대한 SSL 보안을 선택하기 위한 옵션이 포함됩니다. 인증서 인증은 SSL 보안 연결에서만 사용할 수 있습니다. 다음 예는 CMCI 연결 추가 창을 표시합니다.

보안 연결 선택란을 표시하는 CMCI 연결 창을 추가합니다.

참고: 연결하려고 하면 보안 연결(TLS/SSL)이 올바르게 설정된 경우에도 다음 메시지가 발생할 수 있습니다.
  • IZE0106E "서버에서 예기치 않은 파일 끝" 오류로 연결이 실패함
이 예외는 서버에서 포트가 사용 중이 아닌 경우에도 적용됩니다. 보안 상의 이유로 SSL 포트는 연결 실패의 이유로 응답하지 않으므로 권한이 없는 사용자가 유용한 정보를 받지 못합니다.

연결할 때 CICS Explorer는 SSL 설정이 연결의 각 끝에서 동일한지 확인합니다. 예를 들어, 보안 연결(TLS/SSL)을 선택하지 않았지만 서버가 SSL을 예상하는 경우 연결이 실패합니다. 이 경우 처음 연결을 시도할 때 CICS Explorer는 불일치를 표시하는 메시지를 나타내고 SSL을 사용으로 설정하여 연결을 다시 시도하기 위한 옵션을 제공합니다.

연결 보안의
모호성 메시지가 있는 연결 보안 실패
대화 상자.

모호성 대화 상자는 Explorer 업그레이드 또는 가져오기(로드가 아님)와 같은 이전 버전의 CICS Explorer에서 SSL 설정을 확인하지 않은 기존 또는 이전 연결에 대해서만 표시됩니다.

서버에 처음 연결하는 경우, CICS Explorer는 인증서가 키 저장소에 없으면 인증서를 승인하도록 프롬프트합니다.

인증서
경보

인증서의 정보를 주의깊게 읽고 이 연결이 예상한 서버에 대한 것이며 연결이 유효한지 확인하십시오. 확인을 클릭하면 인증서가 승인되어 키 저장소에 저장됩니다. 그러면 이 서버에 대한 모든 후속 연결 시도에 이 인증서가 사용됩니다. 인증서를 확인하도록 다시 프롬프트되지 않습니다.

iKeyman 유틸리티로 사용자의 키 저장소에서 인증서를 관리할 수 있습니다. 이 유틸리티는 IBM Java 보안 소켓 확장 패키지의 일부로 제공됩니다.