Explorer 连接的 SSL 安全性
在必要时,您可以使用安全套接字层 (SSL) 协议保护 CICS Explorer® 与 CICS® 系统之间的连接。您可以指定应用于 CICS Explorer 与 CICS 系统之间的安全连接的安全 和证书管理首选项,然后在配置各个 CICS 系统连接时指定是否使用安全性。
安全和证书管理首选项
缺省情况下,CICS Explorer 已启用证书管理。
- 在 CICS Explorer 中:IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
- 在作业日志中:DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.
您可以使用“首选项”窗口中的“安全和证书管理”窗格打开或关闭信任验证,以便为证书定义密钥库以及配置智能卡访问。

- 密钥库是一个加密文件,其中包含提供给另一个系统以便对您进行验证的证书。
- 信任库是一种密钥库类型,其中包含用于验证服务器是否可信的 SSL 证书。可以将信任库保存在一个中央位置。
- 智能卡或 CAC(公共访问卡)是保存在物理卡上的密钥库。此卡将插入到 PC 上的读卡器中,其中包含用于向主机服务器进行认证的证书。您必须安装兼容的驱动程序才能访问智能卡;从磁盘中或在 Windows 上配置特定的 PKCS11 驱动程序,并使用操作系统密码术支持。
还可以使用一些可选参数,用于提供对连接协商期间使用的某些协议的显式控制。请询问网络管理员,以了解有关贵组织内密钥库的信息。
CICS Explorer 在用户工作空间中提供了一个缺省密钥库,该密钥库可同时充当信任库和密钥库。信任库的缺省口令是 changeit。
有关更多信息,请参阅 管理 SSL 安全性和证书。
CICS 系统连接配置
在配置 CICS 系统连接时,“添加连接”窗口中包含用于为连接选择 SSL 安全性的选项。证书验证只能与 SSL 安全连接配合使用。以下示例显示“添加 CMCI 连接”窗口。

- IZE0106E 连接失败,发生错误“来自服务器的文件意外结束”
连接时, CICS Explorer 会检查 SSL 设置在各个连接终端是否相同。 例如,如果您不选择安全连接 (TLS/SSL),但服务器需要使用 SSL,则连接将失败。这种情况下,第一次尝试连接时, CICS Explorer 会显示一则消息,指示不匹配之处,并提供在启用 SSL 的情况下再次尝试连接的选项。

“不确定”对话框仅对先前版本的 CICS Explorer(例如,Explorer 升级或导入,非装入)没有确认 SSL 设置的现有连接或旧连接显示。
当您第一次连接某个服务器时,如果证书在密钥库中不存在,CICS Explorer 将提示您接受该证书。

请仔细阅读证书中的信息,并确保此连接是与您所预期的服务器的连接并且该连接有效。如果您单击确定,将接受证书并将其存储在密钥库中。在后续每次尝试与此服务器连接时都将使用该证书。不会再提示您检查该证书。
您可以使用 iKeyman 实用程序来管理密钥库中的证书。此实用程序作为 IBM Java 安全套接字扩展软件包的一部分提供。