A segurança do SSL para conexões do Explorer
Quando necessário, é possível proteger as conexões entre os sistemas CICS Explorer e CICS usando o protocolo Secure Sockets Layer (SSL). Especifique as preferências de segurança e gerenciamento de certificado que se aplicam às conexões seguras entre os sistemas CICS Explorer e CICS, em seguida, especifique se é necessário usar a segurança ao configurar a conexão do sistema CICS ou não.
Preferências de segurança e gerenciamento de certificados
Por padrão, o gerenciamento de certificado é ativado para o CICS Explorer.
- No CICS Explorer IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
- No log da tarefa DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Motivo: Nenhuma cifra comum negociada. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.
É possível usar a área de janela Segurança e gerenciamento de certificado na janela Preferências para ativar ou desativar a verificação de confiança para definir keystores para seus certificados e para configurar o acesso por cartão inteligente.

- Um keystore é um arquivo criptografado que contém os certificados que são apresentados para outro sistema para autenticar você.
- Um armazenamento confiável é um tipo de kaystore que contém certificados SSL que são usados para verificar se um servidor é confiável. O armazenamento confiável pode ser mantido em um local central.
- Um cartão inteligente ou CAC (Common Access Card) é um keystore mantido em um cartão físico. O cartão é inserido em um leitor no PC e contém certificados que são usados para autenticar você em um servidor host. Deve-se instalar um driver compatível para acessar um cartão inteligente; configure um driver PKCS11 específico a partir do disco ou no Windows, use o suporte de criptografia do sistema operacional.
Também é possível usar alguns parâmetros opcionais que fornecem controle explícito de alguns dos protocolos que são usados durante a negociação de conexão. Pergunte ao administrador da rede para obter informações sobre os keystores em sua organização.
O CICS Explorer fornece um keystore padrão na área de trabalho do usuário que pode servir como um armazenamento confiável e um keystore. O passphrase padrão para o armazenamento confiável é changeit.
Para obter informações adicionais, consulte Gerenciando Certificados e Segurança SSL.
Configuração de conexão do sistema CICS
Ao configurar uma conexão do sistema CICS, a janela Incluir conexão inclui uma opção para selecionar a segurança SSL para a conexão. A autenticação de certificado pode ser usada somente com uma conexão protegida por SSL. O exemplo a seguir mostra a janela Incluir Conexão do CMCI.

- IZE0106E Connect failed with error "Unexpected end of file from server"
Ao fazer uma conexão, o CICS Explorer verifica se as configurações de SSL são as mesmas em cada extremidade da conexão. Por exemplo, se Conexão segura (TLS/SSL) não for selecionada, mas o servidor espera SSL, a conexão falhará. Nesta situação, para a primeira tentativa de conexão, o CICS Explorer mostra uma mensagem que indica a incompatibilidade e fornece a opção para tentar a conexão novamente com o SSL ativado.

O diálogo Ambiguidade é mostrado apenas para conexões existentes ou antigas em que a configuração de SSL não foi confirmada por uma versão anterior do CICS Explorer como um upgrade ou uma importação do Explorer (não carregado).
Se você conectar a um servidor pela primeira vez, o CICS Explorer solicita que você aceite o certificado se ele não existir nos keystores.

Leia com atenção as informações no certificado e certifique-se de que esta conexão seja com o servidor esperado e que a conexão seja válida. Se você clicar em OK, o certificado será aceito e armazenado no keystore. Ele é, então, usado em cada tentativa subsequente para conectar a este servidor. Não é solicitado que você verifique novamente o certificado.
É possível gerenciar os certificados em seu keystore com o utilitário iKeyman. Este utilitário é fornecido como parte do pacote do IBM Java Security Socket Extension.