用於瀏覽器連線的 SSL 安全保護

必要時,您可以使用 Secure Sockets Layer (SSL) 通訊協定,來保護 CICS Explorer® 與 CICS® 系統之間的連線安全。請指定套用的安全和憑證管理喜好設定,以保護 CICS Explorer 與 CICS 系統之間的連線安全,然後指定是否在配置每一個 CICS 系統連線時都使用安全措施。

安全和憑證管理喜好設定

依預設,會對 CICS Explorer 啟用憑證管理。

Java™ 7 已提高安全保護,因此,CICS Explorer 現在只能連接至配置了「高度」加密的 TCP/IP 服務。依預設,CICS 使用高度加密。CICS 提供的一般加密層次已不相容。如果嘗試將 CICS Explorer 5.1 版或更新版本連接至使用「一般」加密層次的 CICS 區域,則會發生下列錯誤:
  • CICS Explorer 中:IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
  • 在工作日誌中:DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

您可以使用「喜好設定」視窗中的「安全和憑證管理」窗格,來開啟或關閉信任驗證、為憑證定義金鑰儲存庫,以及配置智慧卡存取。

安全和憑證管理對話框

使用「安全和憑證管理」窗格,可定義金鑰儲存庫信任儲存庫,以及配置智慧卡
  • 金鑰儲存庫 是一種加密檔案,其中包含提供給其他系統以對您進行鑑別的憑證。
  • 信任儲存庫 是一種金鑰儲存庫,其中包含用來驗證能否信任伺服器的 SSL 憑證。信任儲存庫可以保留在集中位置。
  • 智慧卡 或 CAC(通用存取卡)是保留在實體卡中的金鑰儲存庫。此卡可插入 PC 上的讀取器,且包含用來向主伺服器對您進行鑑別的憑證。您必須安裝相容的驅動程式才能存取智慧卡;請配置磁碟中的特定 PKCS11 驅動程式,或在 Windows 上使用作業系統加密法支援。
若要使用您選擇的憑證(來自磁碟上的金鑰儲存庫,或來自智慧卡)進行連接,您必須在「主機連線」視圖中建立適當類型的新認證。

您也可以使用部分選用參數,以明確控制連線協議期間所使用的部分通訊協定。請要求網路管理者提供組織中金鑰儲存庫的相關資訊。

CICS Explorer 提供使用者工作區中的預設金鑰儲存庫,可同時作為信任儲存庫和金鑰儲存庫。信任儲存庫的預設通行詞組為 changeit

註:安全 Socket 通訊協定設為 default,除非網路管理者另有指示。設為 default 時,CICS Explorer 會自動與伺服器協議最安全的連線。

如需相關資訊,請參閱管理 SSL 安全保護和憑證

CICS 系統連線配置

當您配置 CICS 系統連線時,「新增連線」視窗包含一個選項,可用來選取連線的 SSL 安全保護。憑證鑑別只能與 SSL 安全連線搭配使用。下列範例顯示「新增 CMCI 連線」視窗。

顯示「安全連線」勾選框的「新增 CMCI 連線」視窗。

註: 當您嘗試連接時,即使已正確設定安全連線 (TLS/SSL),也可能會出現下列訊息:
  • IZE0106E Connect failed with error "Unexpected end of file from server"
如果埠在伺服器上不在使用中,則此異常狀況也適用。基於安全理由,SSL 埠不會回應連線失敗的原因,因此未獲授權的使用者不會收到任何有用的資訊。

當您進行連線時,CICS Explorer 會檢查每一連線端上的 SSL 設定是否相同。例如,如果您未選取安全連線 (TLS/SSL),但伺服器預期使用 SSL,則連線會失敗。在此情況下,第一次嘗試連線時,CICS Explorer 會顯示一則訊息指出不相符的狀況,並可讓您選擇是否要再次嘗試在已啟用 SSL 的情況下進行連線。

連線安全訊息中的連線安全失敗對話框「語義不明確」。

「語義不明確」對話框只會對 SSL 設定未得到舊版 CICS Explorer 確認的現有或舊的連線顯示,例如「瀏覽器」升級或匯入(非載入)。

如果您是第一次連接至伺服器,CICS Explorer 會提示您接受憑證(如果它不存在於金鑰儲存庫中)。

憑證警示

仔細閱讀憑證中的資訊,並確信此連線是連接至您預期的伺服器,而且連線有效。如果您按一下確定,則會接受憑證,並將其儲存在金鑰儲存庫中。後續每次嘗試與此伺服器連接時,都會使用此憑證。將不會再次提示您檢查憑證。

您可以使用 iKeyman 公用程式來管理金鑰儲存庫中的憑證。此公用程式隨附於 IBM Java Security Socket Extension 套件。