Explorer 接続での SSL セキュリティー

必要に応じて、Secure Sockets Layer (SSL) プロトコルを使用して CICS Explorer® と CICS® システムとの間の接続を保護することができます。CICS Explorer と CICS システムの間の接続を保護するために適用するセキュリティーおよび証明書管理の設定を指定し、各 CICS システムの接続を構成する際にセキュリティーを使用するかどうかを指定します。

セキュリティーおよび証明書管理の設定

デフォルトでは、CICS Explorer に対して証明書管理が有効にされています。

Java™ 7 ではセキュリティーが強化されているため、CICS Explorer は、STRONG 暗号化で構成された TCP/IP サービスにのみ接続するようになりました。CICS は、デフォルトで STRONG 暗号化を使用します。 CICS により提供される MEDIUM レベルの暗号化は非互換になりました。 MEDIUM レベルの暗号化で CICS Explorer バージョン 5.1 以降を CICS 領域に接続しようとすると、以下のエラーが発生します。
  • CICS Explorer: IZE0106E エラー "javax.net.ssl.SSLHandshakeException: 重大なアラートを受信しました: handshake_failure (SYSA CMCI SECURE)" で接続は失敗しました (IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)")
  • ジョブ・ログ: DFHSO0123 09/19/2012 10:13:22 IYCYZC2K システム SSL の関数 'gsk_secure_socket_init' から戻りコード 402 を受け取りました。(DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL.) 理由: 共通の暗号がネゴシエーションされませんでした。(Reason: No common ciphers negotiated.) ピア: 9.20.210.250, TCPIPSERVICE: XFHWUTCP。(Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.)

「プリファレンス」ウィンドウの「セキュリティーおよび証明書管理」ペインを使用して、 信頼性の検査をオン/オフにしたり、証明書の鍵ストアを定義したり、スマート・カードのアクセスを構成したりできます。

「セキュリティーおよび証明書管理」ダイアログ

「セキュリティーおよび証明書管理」ペインを使用して、鍵ストアトラストストア を定義し、スマート・カード を構成します。
  • 鍵ストア とは、認証を受けるために別のシステムに提示する証明書が含まれた暗号化ファイルです。
  • トラストストア とは、信頼できるサーバーであることを検証するために使用する SSL 証明書が含まれた一種の鍵ストアです。 トラストストアは、1 つの中心地点に保持できます。
  • スマート・カード または CAC (共通アクセス・カード) とは、物理カード上に保持された鍵ストアです。 このカードは PC のリーダーに挿入するものであり、ホスト・サーバーで認証を受けるために使用する証明書を含んでいます。 スマート・カードへのアクセスに対応したドライバーをインストールし、 ディスクまたは Windows 上の特定の PKCS11 ドライバーを構成し、オペレーティング・システムの暗号化サポートを使用する必要があります。
選択した証明書 (ディスクまたはスマート・カードの鍵ストアにあるもの) を使用して接続するには、 ホスト接続ビューで、適切なタイプの新規の資格情報を作成する必要があります。

接続ネゴシエーション中に使用される一部のプロトコルを明示的に制御するいくつかのオプション・パラメーターを使用することもできます。 個別の各組織での鍵ストアの使用方法に関する情報は、ネットワーク管理者に確認してください。

CICS Explorer は、ユーザーのワークスペースで、トラストストアと鍵ストアの両方として機能できる、デフォルトの鍵ストアを提供します。トラストストアのデフォルトのパスフレーズは changeit です。

注: ネットワーク管理者から指示される場合を除き、「セキュア・ソケット・プロトコル」は、「デフォルト」に設定したままにします。 「デフォルト」に設定されていると、CICS Explorer は、サーバーとの最も安全な接続を自動的にネゴシエーションします。

詳しくは、SSL セキュリティーと証明書の管理を参照してください。

CICS システム接続の構成

CICS システム接続を構成する場合、接続に対して SSL セキュリティーを選択するオプションが「接続を追加」ウィンドウに含まれています。証明書認証は、SSL で保護された接続でのみ使用できます。 次の例には、「CMCI 接続を追加」ウィンドウが示されています。

「セキュア接続」チェック・ボックスが表示された「CMCI 接続を追加」ウィンドウ。

注: 接続しようとすると、「セキュア接続 (TLS/SSL)」が正しく設定されている場合でも、次のメッセージが表示される場合があります。
  • IZE0106E エラー "サーバーからの予期しないファイルの終わり" で接続が失敗しました (IZE0106E Connect failed with error "Unexpected end of file from server")
サーバーでポートが使用されていない場合にも、この例外が当てはまることがあります。 セキュリティー上の理由で SSL ポートは接続の失敗に関する理由について応答しません。そのため、無許可のユーザーが有用な情報を受信することはありません。

接続するときに、CICS Explorer は、それぞれの SSL 設定が各接続の終了時に同じであることを検査します。例えば、「セキュア接続 (TLS/SSL)」を選択しない場合、サーバー側で SSL を使用することになっていれば、接続は失敗します。 この状況では、最初の接続の試行で、CICS Explorer に不一致を示すメッセージが表示され、SSL を有効にしてもう一度接続を試行するオプションが提供されます。

メッセージ「接続セキュリティーがあいまいです」が表示された「接続セキュリティー障害」ダイアログ。

SSL 設定が以前のバージョンの CICS Explorer によって確認されていない既存の接続または古い接続 (Explorer のアップグレードやインポート (ロードではない) など) の場合のみ、あいまいに関するこのダイアログが表示されます。

初めてサーバーに接続するときに証明書が鍵ストアに存在しない場合には、CICS Explorer は、証明書を受け入れるように促すプロンプトを出します。

証明書アラート

証明書の情報を注意深く読み、この接続が必要とするサーバーへの接続であり、この接続が妥当であることを確認してください。 「OK」をクリックすると、証明書が承認され、鍵ストアに保管されます。 この証明書は、この後、このサーバーとの接続を試行するたびに使用されます。 証明書を確認するプロンプトは、再び出されることはありません。

鍵ストア内の証明書は iKeyman ユーティリティーを使用して管理できます。 このユーティリティーは、IBM Java Security Socket Extension パッケージの一部として提供されます。