A segurança do SSL para conexões do Explorer

Quando necessário, é possível proteger as conexões entre os sistemas CICS Explorer e CICS usando o protocolo Secure Sockets Layer (SSL). Especifique as preferências de segurança e gerenciamento de certificado que se aplicam às conexões seguras entre os sistemas CICS Explorer e CICS, em seguida, especifique se é necessário usar a segurança ao configurar a conexão do sistema CICS ou não.

Preferências de segurança e gerenciamento de certificados

Por padrão, o gerenciamento de certificado é ativado para o CICS Explorer.

O Java™ 7 inclui segurança aumentada, portanto, o CICS Explorer agora conecta-se apenas aos serviços TCP/IP configurados com criptografia STRONG. O CICS usa criptografia AVANÇADA por padrão. O nível MÉDIO de criptografia que é oferecido pelo CICS não é mais compatível. Se você tentar conectar o CICS Explorer Versão 5.1 ou posterior a uma região CICS com nível MEDIUM de criptografia, os seguintes erros ocorrerão:
  • No CICS Explorer IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
  • No log da tarefa DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Motivo: Nenhuma cifra comum negociada. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

É possível usar a área de janela Segurança e gerenciamento de certificado na janela Preferências para ativar ou desativar a verificação de confiança para definir keystores para seus certificados e para configurar o acesso por cartão inteligente.

O diálogo segurança e gerenciamento de certificado

Use a área de janela Segurança e gerenciamento de certificado para definir um keystore e um armazenamento confiável, e para configurar um cartão inteligente.
  • Um keystore é um arquivo criptografado que contém os certificados que são apresentados para outro sistema para autenticar você.
  • Um armazenamento confiável é um tipo de kaystore que contém certificados SSL que são usados para verificar se um servidor é confiável. O armazenamento confiável pode ser mantido em um local central.
  • Um cartão inteligente ou CAC (Common Access Card) é um keystore mantido em um cartão físico. O cartão é inserido em um leitor no PC e contém certificados que são usados para autenticar você em um servidor host. Deve-se instalar um driver compatível para acessar um cartão inteligente; configure um driver PKCS11 específico a partir do disco ou no Windows, use o suporte de criptografia do sistema operacional.
Para se conectar utilizando um certificado de sua escolha (a partir de um keystore no disco ou em um cartão inteligente), deve-se criar uma nova credencial do tipo adequado na Visualização conexões de host.

Também é possível usar alguns parâmetros opcionais que fornecem controle explícito de alguns dos protocolos que são usados durante a negociação de conexão. Pergunte ao administrador da rede para obter informações sobre os keystores em sua organização.

O CICS Explorer fornece um keystore padrão na área de trabalho do usuário que pode servir como um armazenamento confiável e um keystore. O passphrase padrão para o armazenamento confiável é changeit.

Nota: Deixe o protocolo de soquete seguro configurado como default, a menos que seja instruído por seu administrador da rede. Quando configurado como default, o CICS Explorer negocia automaticamente a conexão mais segura com o servidor.

Para obter informações adicionais, consulte Gerenciando Certificados e Segurança SSL.

Configuração de conexão do sistema CICS

Ao configurar uma conexão do sistema CICS, a janela Incluir conexão inclui uma opção para selecionar a segurança SSL para a conexão. A autenticação de certificado pode ser usada somente com uma conexão protegida por SSL. O exemplo a seguir mostra a janela Incluir Conexão do CMCI.

Janela Incluir conexão do CMCI, mostrando a caixa de seleção Conexão segura.

Nota: Ao tentar conectar-se, a seguinte mensagem pode ocorrer, mesmo quando Conexão segura (TLS/SSL) estiver configurada corretamente:
  • IZE0106E Connect failed with error "Unexpected end of file from server"
Esta exceção também se aplicará se a porta não estiver em uso no servidor. Por motivos de segurança, a porta SSL não responde com o motivo para a falha da conexão, para que um usuário não autorizado não receba nenhuma informação útil.

Ao fazer uma conexão, o CICS Explorer verifica se as configurações de SSL são as mesmas em cada extremidade da conexão. Por exemplo, se Conexão segura (TLS/SSL) não for selecionada, mas o servidor espera SSL, a conexão falhará. Nesta situação, para a primeira tentativa de conexão, o CICS Explorer mostra uma mensagem que indica a incompatibilidade e fornece a opção para tentar a conexão novamente com o SSL ativado.

Diálogo Falha da segurança de conexão com a mensagem de segurança Ambiguidade na conexão.

O diálogo Ambiguidade é mostrado apenas para conexões existentes ou antigas em que a configuração de SSL não foi confirmada por uma versão anterior do CICS Explorer como um upgrade ou uma importação do Explorer (não carregado).

Se você conectar a um servidor pela primeira vez, o CICS Explorer solicita que você aceite o certificado se ele não existir nos keystores.

Alerta de certificado

Leia com atenção as informações no certificado e certifique-se de que esta conexão seja com o servidor esperado e que a conexão seja válida. Se você clicar em OK, o certificado será aceito e armazenado no keystore. Ele é, então, usado em cada tentativa subsequente para conectar a este servidor. Não é solicitado que você verifique novamente o certificado.

É possível gerenciar os certificados em seu keystore com o utilitário iKeyman. Este utilitário é fornecido como parte do pacote do IBM Java Security Socket Extension.