SSL-Sicherheit für Explorer-Verbindungen

Sie haben die Möglichkeit, die Verbindungen zwischen CICS Explorer und CICS-Systemen mithilfe des SSL-Protokolls (SSL = Secure Sockets Layer) zu schützen. Sie definieren Vorgaben für die Sicherheits- und Zertifikatsverwaltung, die zum Schutz der Verbindungen zwischen CICS Explorer und CICS-Systemen dienen, und geben dann beim Konfigurieren der einzelnen CICS-Systemverbindungen an, ob die Vorgaben angewendet werden sollen.

Vorgaben für die Sicherheits- und Zertifikatsverwaltung

Standardmäßig ist die Zertifikatsverwaltung für CICS Explorer aktiviert.

Java™ 7 umfasst eine erweiterte Sicherheitsfunktion, die es CICS Explorer nun ermöglicht, Verbindungen ausschließlich zu TCP/IP-Services herzustellen, die mit starker Verschlüsselung (STRONG) konfiguriert wurden. CICS verwendet die starke Verschlüsselung (STRONG) standardmäßig. Die Verschlüsselungsstufe MEDIUM, die von CICS unterstützt wurde, ist nicht mehr kompatibel. Wenn Sie versuchen, zwischen CICS Explorer Version 5.1 und einer CICS-Region eine Verbindung mit der Verschlüsselungsstufe MEDIUM herzustellen, treten die folgenden Fehler auf:
  • In CICS Explorer: IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
  • Im Jobprotokoll: DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

Sie können das Teilfenster "Sicherheits- und Zertifikatsverwaltung" im Fenster "Vorgaben" verwenden, um die Vertrauensverifizierung zum Definieren der Schlüsselspeicher für Ihre Zertifikate ein- oder auszuschalten und um den Zugriff auf die Smartcard zu konfigurieren.

Dialog "Sicherheits- und Zertifikatsverwaltung"

Verwenden Sie das Teilfenster "Sicherheits- und Zertifikatsverwaltung", um einen Schlüsselspeicher und einen Truststore zu definieren und um eine Smartcard zu konfigurieren.
  • Ein Schlüsselspeicher ist eine verschlüsselte Datei mit den Zertifikaten, die bei einem anderen System angegeben werden, um Sie zu authentifizieren.
  • Ein Truststore ist ein Schlüsselspeichertyp mit SSL-Zertifikaten, mit deren Hilfe überprüft wird, ob ein Server vertrauenswürdig ist. Der Truststore kann an einer zentralen Position eingerichtet werden.
  • Eine Smartcard oder CAC (Common Access Card) ist ein Schlüsselspeicher, der sich auf einer physischen Karte befindet. Die Karte wird in ein Lesegerät Ihres PCs eingefügt. Sie enthält Zertifikate, mit deren Hilfe Sie auf dem Host-Server authentifiziert werden. Für den Zugriff auf eine Smartcard müssen Sie einen kompatiblen Treiber installieren. Konfigurieren Sie entweder einen bestimmten PKCS11-Treiber von einem Datenträger oder verwenden Sie unter Windows die Verschlüsselungsunterstützung des Betriebssystems.
Um unter Verwendung eines Zertifikats Ihrer Wahl (über einen Schlüsselspeicher auf der Platte oder auf einer Smartcard) eine Verbindung herzustellen, müssen Sie in der "Hostverbindungsansicht" einen neuen Berechtigungsnachweis des entsprechenden Typs erstellen.

Sie haben außerdem die Möglichkeit, einige optionale Parameter zu verwenden, die eine explizite Steuerung bestimmter Protokolle ermöglichen, die während der Verbindungsvereinbarung verwendet werden. Wenden Sie sich an Ihren Netzadministrator, wenn Sie Informationen zu den in Ihrem Unternehmen verwendeten Schlüsselspeichern benötigen.

CICS Explorer stellt einen Standardschlüsselspeicher im Arbeitsbereich des Benutzers bereit, der sowohl als Truststore als auch als Schlüsselspeicher eingesetzt werden kann. Die Standardkennphrase des Truststores lautet changeit.

Anmerkung: Übernehmen Sie für Sicheres Socketprotokoll die Einstellung Standard, sofern Sie vom Netzadministrator keine anderen Anweisungen erhalten. Bei der Einstellung Standard vereinbart CICS Explorer automatisch die Serververbindung mit dem höchsten Sicherheitsgrad.

Weitere Informationen finden Sie im Abschnitt Verwalten von SSL-Sicherheit und Zertifikaten.

Konfiguration einer CICS-Systemverbindung

Wenn Sie eine CICS-Systemverbindung konfigurieren, enthält das Fenster "Verbindung hinzufügen" eine Option zum Auswählen der SSL-Sicherheit für die Verbindung. Die Zertifikatsauthentifizierung kann nur mit einer SSL-gesicherten Verbindung verwendet werden. Das folgende Beispiel zeigt das Fenster CMCI-Verbindung hinzufügen.

Fenster 'CMCI-Verbindung hinzufügen' mit dem Kontrollkästchen 'Sichere Verbindung'.

Anmerkung: Wenn Sie versuchen, eine Verbindung herzustellen, wird möglicherweise die folgende Nachricht angezeigt. Dies kann auch dann der Fall sein, wenn die Einstellung für Sichere Verbindung (TLS/SSL) korrekt definiert wurde:
  • IZE0106E Verbindung mit Fehler "Unerwartetes Dateiende vom Server" fehlgeschlagen
Diese Ausnahme gilt auch dann, wenn der Port auf dem Server nicht belegt ist. Aus Sicherheitsgründen gibt der SSL-Port nicht die Ursache für das Fehlschlagen der Verbindung zurück, damit nützliche Informationen nicht in die Hände unbefugter Benutzer gelangen.

Wenn Sie eine Verbindung herstellen, überprüft CICS Explorer, ob die SSL-Einstellungen an beiden Enden der Verbindung identisch sind. Wenn Sie z. B. das Kontrollkästchen Sichere Verbindung (TLS/SSL) nicht ausgewählt haben, der Server jedoch die Verwendung von SSL erwartet, schlägt die Verbindung fehl. Beim ersten Versuch, diese Verbindung herzustellen, zeigt CICS Explorer eine Nachricht an, in der Sie über diese Abweichung informiert werden, und gibt Ihnen die Möglichkeit, die Verbindungsherstellung mit aktiviertem SSL zu wiederholen.

Dialog "Verbindungssicherheitsfehler" mit Nachricht zu Mehrdeutigkeit.

Der Dialog zu dieser Mehrdeutigkeit wird nur für vorhandene oder alte Verbindungen angezeigt, bei denen die SSL-Einstellung nicht durch eine vorherige Version von CICS Explorer (z. B. ein Explorer-Upgrade oder einen Import (keine Ladeoperation)) bestätigt wurde.

Wenn Sie zum ersten Mal eine Verbindung zu einem Server herstellen, fordert Sie CICS Explorer zur Annahme des Zertifikats auf, sofern es nicht in den Schlüsselspeichern vorhanden ist.

Zertifikatsalert

Lesen Sie die Informationen im Zertifikat sorgfältig durch und vergewissern Sie sich, dass diese Verbindung zu dem Server hergestellt wird, den Sie verwenden möchten, und dass die Verbindung zulässig ist. Wenn Sie auf OK klicken, wird das Zertifikat akzeptiert und im Schlüsselspeicher gespeichert. Es wird dann bei jedem nachfolgenden Versuch zur Herstellung einer Verbindung zu diesem Server verwendet. Sie werden nicht nochmals zur Überprüfung des Zertifikats aufgefordert.

Sie können die Zertifikate in Ihrem Schlüsselspeicher mit dem Dienstprogramm iKeyman verwalten. Dieses Dienstprogramm wird als Komponente des IBM Java Security Socket Extension-Pakets geliefert.