Sécurité SSL pour les connexions Explorer

Lorsque cela est nécessaire, vous pouvez sécuriser les connexions entre les systèmes CICS Explorer et CICS à l'aide du protocole SSL (Secure Sockets Layer). Vous spécifiez les préférences de gestion de certificats et de sécurité qui s'appliquent aux connexions sécurisées entre les systèmes CICS Explorer et CICS, puis vous indiquez si la sécurité doit être utilisée lorsque vous configurez chaque connexion de système CICS.

Préférences de gestion de certificats et de sécurité

Par défaut, la gestion de certificats est activée pour CICS Explorer.

Java™ 7 offre une sécurité améliorée, de sorte que CICS Explorer se connecte désormais uniquement aux services TCP/IP configurés avec un chiffrement renforcé. CICS utilise le chiffrement renforcé par défaut. Le niveau moyen du chiffrement proposé par CICS n'est plus compatible. Si vous essayez de connecter CICS Explorer version 5.1 ou ultérieure à une région CICS avec le niveau moyen de chiffrement, vous obtenez les erreurs suivantes :
  • Dans CICS Explorer : IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
  • Dans le journal de travail : DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

Vous pouvez utiliser la sous-fenêtre de gestion de la sécurité et des certificats de la fenêtre Préférences pour activer ou désactiver la vérification de la fiabilité afin de définir des fichiers de clés pour vos certificats et de configurer l'accès à la carte à puce.

Boîte de dialogue Gestion de la sécurité et des certificats

Utilisez la sous-fenêtre de gestion de la sécurité et des certificats pour définir un fichier de clés et un fichier de clés certifiées, ainsi que pour configurer une carte à puce.
  • Un fichier de clés est un fichier chiffré contenant les certificats qui sont présentés à un autre système pour vous authentifier.
  • Un fichier de clés certifiées est un type de fichier de clés contenant des certificats SSL qui sont utilisés pour vérifier qu'un serveur est digne de confiance. Le fichier de clés certifiées peut être géré dans un emplacement central.
  • Une carte à puce ou carte d'accès commun (CAC) est un fichier de clés qui se trouve sur une carte physique. La carte est insérée dans un lecteur sur votre PC et contient des certificats qui sont utilisés pour vous authentifier auprès d'un serveur hôte. Vous devez installer un pilote compatible pour accéder à une carte à puce ; configurez un pilote PKCS11 spécifique depuis le disque ou, sous Windows, utilisez le support de cryptographie du système d'exploitation.
Pour pouvoir vous connecter à l'aide du certificat de votre choix (depuis un fichier de clés sur le disque ou sur une carte à puce), vous devez créer des données d'identification du type approprié dans la vue Connexions hôte.

Vous pouvez également utiliser certains paramètres facultatifs qui offrent un contrôle explicite de certains des protocoles utilisés au cours de la négociation de connexion. Demandez à votre administrateur de réseau des informations sur les fichiers de clés de votre organisation.

CICS Explorer fournit un fichier de clés par défaut dans l'espace de travail de l'utilisateur, qui peut servir en tant que fichier de clés certifiées et en tant que fichier de clés. La phrase passe par défaut pour le fichier de clés certifiées est changeit.

Remarque : Laissez le paramètre Secure socket protocol défini sur default sauf instruction contraire de votre administrateur réseau. Lorsque la valeur est définie sur default, CICS Explorer négocie automatiquement la connexion la plus sécurisée avec le serveur.

Pour plus d'informations, voir Gestion de la sécurité SSL et des certificats.

Configuration de connexion de système CICS

Lorsque vous configurez une connexion de système CICS, la fenêtre Ajouter une connexion inclut une option permettant de sélectionner la sécurité SSL pour la connexion. L'authentification par certificat ne peut être utilisée qu'avec une connexion sécurisée par SSL. L'exemple ci-après présente la fenêtre d'ajout de connexion CMCI.

Fenêtre d'ajout de connexion CMCI présentant la case à cocher pour la connexion sécurisée.

Remarque : Lorsque vous tentez de vous connecter, il se peut que le message suivant s'affiche, même si l'option Connexion sécurisée (TLS/SSL) est correctement paramétrée :
  • IZE0106E Connect failed with error "Unexpected end of file from server"
Cette exception s'appliquerait également si le port n'était pas en cours d'utilisation sur le serveur. Pour des raisons de sécurité, le port SSL ne répond pas par la raison de la panne de connexion, afin de ne pas apporter d'informations utiles à un utilisateur non autorisé.

Lorsque vous établissez une connexion, CICS Explorer vérifie que les paramètres SSL sont identiques à chaque extrémité de la connexion. Par exemple, si vous ne sélectionnez pas l'option Connexion sécurisée (TLS/SSL) et si le serveur s'attend à un protocole SSL, la connexion échoue. Dans cette situation, lors de la première tentative d'établissement de cette connexion, CICS Explorer affiche un message indiquant la non-concordance et vous autorise à réessayer d'établir la connexion en activant SSL.

Boîte de dialogue d'échec de la sécurité de la connexion affichant le message signalant l'ambiguïté dans la sécurité de la connexion.

La boîte de dialogue Ambiguïté ne s'affiche que pour les connexions existantes/anciennes dans lesquelles le paramètre SSL n'a pas été confirmé par une version précédente de CICS Explorer telle qu'une mise à niveau d'Explorer ou une importation (et non un chargement).

Si vous vous connectez à un serveur pour la première fois, CICS Explorer vous demande d'accepter le certificat s'il n'existe pas dans les fichiers de clés.

Alerte de certificat

Lisez attentivement les informations dans le certificat et vérifiez que cette connexion s'effectue vers le serveur que vous attendez et que la connexion est valide. Si vous cliquez sur OK, le certificat est accepté et stocké dans le fichier de clés. Il est ensuite utilisé à chaque tentative suivante de connexion à ce serveur. Il ne vous sera pas redemandé de vérifier le certificat.

Vous pouvez gérer les certificats dans votre fichier de clés à l'aide de l'utilitaire iKeyman. Cet utilitaire est fourni dans le cadre du package IBM Java Security Socket Extension.