Explorer 连接的 SSL 安全性

在必要时,您可以使用安全套接字层 (SSL) 协议保护 CICS Explorer® 与 CICS® 系统之间的连接。您可以指定应用于 CICS Explorer 与 CICS 系统之间的安全连接的安全 和证书管理首选项,然后在配置各个 CICS 系统连接时指定是否使用安全性。

安全和证书管理首选项

缺省情况下,CICS Explorer 已启用证书管理。

Java™ 7 包含增强的安全性,所以现在 CICS Explorer 只对使用强加密配置的 TCP/IP 服务进行 SSL 连接。缺省情况下,CICS 使用强加密。由 CICS 提供的中级加密不再合规。如果尝试将 CICS Explorer V5.1 或更高版本连接到具有中等加密级别的 CICS 区域,将出现以下错误:
  • CICS Explorer 中:IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
  • 在作业日志中:DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

您可以使用“首选项”窗口中的“安全和证书管理”窗格打开或关闭信任验证,以便为证书定义密钥库以及配置智能卡访问。

“安全和证书管理”对话框

使用“安全和证书管理”窗格定义密钥库信任库以及配置智能卡
  • 密钥库是一个加密文件,其中包含提供给另一个系统以便对您进行验证的证书。
  • 信任库是一种密钥库类型,其中包含用于验证服务器是否可信的 SSL 证书。可以将信任库保存在一个中央位置。
  • 智能卡或 CAC(公共访问卡)是保存在物理卡上的密钥库。此卡将插入到 PC 上的读卡器中,其中包含用于向主机服务器进行认证的证书。您必须安装兼容的驱动程序才能访问智能卡;从磁盘中或在 Windows 上配置特定的 PKCS11 驱动程序,并使用操作系统密码术支持。
要使用您选择的证书(从磁盘或智能卡上的密钥库中选择)进行连接,必须在“主机连接视图”中创建相应类型的新凭证。

还可以使用一些可选参数,用于提供对连接协商期间使用的某些协议的显式控制。请询问网络管理员,以了解有关贵组织内密钥库的信息。

CICS Explorer 在用户工作空间中提供了一个缺省密钥库,该密钥库可同时充当信任库和密钥库。信任库的缺省口令是 changeit

注: 除非有网络管理员的指示,否则请保持将安全套接字协议设置为缺省值。设置为缺省值时,CICS Explorer 将自动与服务器协商最安全的连接。

有关更多信息,请参阅 管理 SSL 安全性和证书

CICS 系统连接配置

在配置 CICS 系统连接时,“添加连接”窗口中包含用于为连接选择 SSL 安全性的选项。证书验证只能与 SSL 安全连接配合使用。以下示例显示“添加 CMCI 连接”窗口。

显示“安全连接”复选框的“添加 CMCI 连接”窗口.

注: 尝试连接时,即使已正确设置安全连接 (TLS/SSL),也可能会出现以下消息:
  • IZE0106E 连接失败,发生错误“来自服务器的文件意外结束”
如果该端口未在服务器上使用,该异常也适用。出于安全考虑,SSL 端口不会响应连接失败的原因,因此未经授权的用户不会收到任何有用信息。

连接时, CICS Explorer 会检查 SSL 设置在各个连接终端是否相同。 例如,如果您不选择安全连接 (TLS/SSL),但服务器需要使用 SSL,则连接将失败。这种情况下,第一次尝试连接时, CICS Explorer 会显示一则消息,指示不匹配之处,并提供在启用 SSL 的情况下再次尝试连接的选项。

“连接安全失败”对话框在连接安全消息中带有“不确定”。

“不确定”对话框仅对先前版本的 CICS Explorer(例如,Explorer 升级或导入,非装入)没有确认 SSL 设置的现有连接或旧连接显示。

当您第一次连接某个服务器时,如果证书在密钥库中不存在,CICS Explorer 将提示您接受该证书。

证书警报

请仔细阅读证书中的信息,并确保此连接是与您所预期的服务器的连接并且该连接有效。如果您单击确定,将接受证书并将其存储在密钥库中。在后续每次尝试与此服务器连接时都将使用该证书。不会再提示您检查该证书。

您可以使用 iKeyman 实用程序来管理密钥库中的证书。此实用程序作为 IBM Java 安全套接字扩展软件包的一部分提供。