Sécurité SSL pour les connexions Explorer
Lorsque cela est nécessaire, vous pouvez sécuriser les connexions entre les systèmes CICS Explorer et CICS à l'aide du protocole SSL (Secure Sockets Layer). Vous spécifiez les préférences de gestion de certificats et de sécurité qui s'appliquent aux connexions sécurisées entre les systèmes CICS Explorer et CICS, puis vous indiquez si la sécurité doit être utilisée lorsque vous configurez chaque connexion de système CICS.
Préférences de gestion de certificats et de sécurité
Par défaut, la gestion de certificats est activée pour CICS Explorer.
- Dans CICS Explorer : IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
- Dans le journal de travail : DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.
Vous pouvez utiliser la sous-fenêtre de gestion de la sécurité et des certificats de la fenêtre Préférences pour activer ou désactiver la vérification de la fiabilité afin de définir des fichiers de clés pour vos certificats et de configurer l'accès à la carte à puce.

- Un fichier de clés est un fichier chiffré contenant les certificats qui sont présentés à un autre système pour vous authentifier.
- Un fichier de clés certifiées est un type de fichier de clés contenant des certificats SSL qui sont utilisés pour vérifier qu'un serveur est digne de confiance. Le fichier de clés certifiées peut être géré dans un emplacement central.
- Une carte à puce ou carte d'accès commun (CAC) est un fichier de clés qui se trouve sur une carte physique. La carte est insérée dans un lecteur sur votre PC et contient des certificats qui sont utilisés pour vous authentifier auprès d'un serveur hôte. Vous devez installer un pilote compatible pour accéder à une carte à puce ; configurez un pilote PKCS11 spécifique depuis le disque ou, sous Windows, utilisez le support de cryptographie du système d'exploitation.
Vous pouvez également utiliser certains paramètres facultatifs qui offrent un contrôle explicite de certains des protocoles utilisés au cours de la négociation de connexion. Demandez à votre administrateur de réseau des informations sur les fichiers de clés de votre organisation.
CICS Explorer fournit un fichier de clés par défaut dans l'espace de travail de l'utilisateur, qui peut servir en tant que fichier de clés certifiées et en tant que fichier de clés. La phrase passe par défaut pour le fichier de clés certifiées est changeit.
Pour plus d'informations, voir Gestion de la sécurité SSL et des certificats.
Configuration de connexion de système CICS
Lorsque vous configurez une connexion de système CICS, la fenêtre Ajouter une connexion inclut une option permettant de sélectionner la sécurité SSL pour la connexion. L'authentification par certificat ne peut être utilisée qu'avec une connexion sécurisée par SSL. L'exemple ci-après présente la fenêtre d'ajout de connexion CMCI.

- IZE0106E Connect failed with error "Unexpected end of file from server"
Lorsque vous établissez une connexion, CICS Explorer vérifie que les paramètres SSL sont identiques à chaque extrémité de la connexion. Par exemple, si vous ne sélectionnez pas l'option Connexion sécurisée (TLS/SSL) et si le serveur s'attend à un protocole SSL, la connexion échoue. Dans cette situation, lors de la première tentative d'établissement de cette connexion, CICS Explorer affiche un message indiquant la non-concordance et vous autorise à réessayer d'établir la connexion en activant SSL.

La boîte de dialogue Ambiguïté ne s'affiche que pour les connexions existantes/anciennes dans lesquelles le paramètre SSL n'a pas été confirmé par une version précédente de CICS Explorer telle qu'une mise à niveau d'Explorer ou une importation (et non un chargement).
Si vous vous connectez à un serveur pour la première fois, CICS Explorer vous demande d'accepter le certificat s'il n'existe pas dans les fichiers de clés.

Lisez attentivement les informations dans le certificat et vérifiez que cette connexion s'effectue vers le serveur que vous attendez et que la connexion est valide. Si vous cliquez sur OK, le certificat est accepté et stocké dans le fichier de clés. Il est ensuite utilisé à chaque tentative suivante de connexion à ce serveur. Il ne vous sera pas redemandé de vérifier le certificat.
Vous pouvez gérer les certificats dans votre fichier de clés à l'aide de l'utilitaire iKeyman. Cet utilitaire est fourni dans le cadre du package IBM Java Security Socket Extension.