SSL-Sicherheit für Explorer-Verbindungen
Sie haben die Möglichkeit, die Verbindungen zwischen CICS Explorer und CICS-Systemen mithilfe des SSL-Protokolls (SSL = Secure Sockets Layer) zu schützen. Sie definieren Vorgaben für die Sicherheits- und Zertifikatsverwaltung, die zum Schutz der Verbindungen zwischen CICS Explorer und CICS-Systemen dienen, und geben dann beim Konfigurieren der einzelnen CICS-Systemverbindungen an, ob die Vorgaben angewendet werden sollen.
Vorgaben für die Sicherheits- und Zertifikatsverwaltung
Standardmäßig ist die Zertifikatsverwaltung für CICS Explorer aktiviert.
- In CICS Explorer: IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"
- Im Jobprotokoll: DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.
Sie können das Teilfenster "Sicherheits- und Zertifikatsverwaltung" im Fenster "Vorgaben" verwenden, um die Vertrauensverifizierung zum Definieren der Schlüsselspeicher für Ihre Zertifikate ein- oder auszuschalten und um den Zugriff auf die Smartcard zu konfigurieren.

- Ein Schlüsselspeicher ist eine verschlüsselte Datei mit den Zertifikaten, die bei einem anderen System angegeben werden, um Sie zu authentifizieren.
- Ein Truststore ist ein Schlüsselspeichertyp mit SSL-Zertifikaten, mit deren Hilfe überprüft wird, ob ein Server vertrauenswürdig ist. Der Truststore kann an einer zentralen Position eingerichtet werden.
- Eine Smartcard oder CAC (Common Access Card) ist ein Schlüsselspeicher, der sich auf einer physischen Karte befindet. Die Karte wird in ein Lesegerät Ihres PCs eingefügt. Sie enthält Zertifikate, mit deren Hilfe Sie auf dem Host-Server authentifiziert werden. Für den Zugriff auf eine Smartcard müssen Sie einen kompatiblen Treiber installieren. Konfigurieren Sie entweder einen bestimmten PKCS11-Treiber von einem Datenträger oder verwenden Sie unter Windows die Verschlüsselungsunterstützung des Betriebssystems.
Sie haben außerdem die Möglichkeit, einige optionale Parameter zu verwenden, die eine explizite Steuerung bestimmter Protokolle ermöglichen, die während der Verbindungsvereinbarung verwendet werden. Wenden Sie sich an Ihren Netzadministrator, wenn Sie Informationen zu den in Ihrem Unternehmen verwendeten Schlüsselspeichern benötigen.
CICS Explorer stellt einen Standardschlüsselspeicher im Arbeitsbereich des Benutzers bereit, der sowohl als Truststore als auch als Schlüsselspeicher eingesetzt werden kann. Die Standardkennphrase des Truststores lautet changeit.
Weitere Informationen finden Sie im Abschnitt Verwalten von SSL-Sicherheit und Zertifikaten.
Konfiguration einer CICS-Systemverbindung
Wenn Sie eine CICS-Systemverbindung konfigurieren, enthält das Fenster "Verbindung hinzufügen" eine Option zum Auswählen der SSL-Sicherheit für die Verbindung. Die Zertifikatsauthentifizierung kann nur mit einer SSL-gesicherten Verbindung verwendet werden. Das folgende Beispiel zeigt das Fenster CMCI-Verbindung hinzufügen.

- IZE0106E Verbindung mit Fehler "Unerwartetes Dateiende vom Server" fehlgeschlagen
Wenn Sie eine Verbindung herstellen, überprüft CICS Explorer, ob die SSL-Einstellungen an beiden Enden der Verbindung identisch sind. Wenn Sie z. B. das Kontrollkästchen Sichere Verbindung (TLS/SSL) nicht ausgewählt haben, der Server jedoch die Verwendung von SSL erwartet, schlägt die Verbindung fehl. Beim ersten Versuch, diese Verbindung herzustellen, zeigt CICS Explorer eine Nachricht an, in der Sie über diese Abweichung informiert werden, und gibt Ihnen die Möglichkeit, die Verbindungsherstellung mit aktiviertem SSL zu wiederholen.

Der Dialog zu dieser Mehrdeutigkeit wird nur für vorhandene oder alte Verbindungen angezeigt, bei denen die SSL-Einstellung nicht durch eine vorherige Version von CICS Explorer (z. B. ein Explorer-Upgrade oder einen Import (keine Ladeoperation)) bestätigt wurde.
Wenn Sie zum ersten Mal eine Verbindung zu einem Server herstellen, fordert Sie CICS Explorer zur Annahme des Zertifikats auf, sofern es nicht in den Schlüsselspeichern vorhanden ist.

Lesen Sie die Informationen im Zertifikat sorgfältig durch und vergewissern Sie sich, dass diese Verbindung zu dem Server hergestellt wird, den Sie verwenden möchten, und dass die Verbindung zulässig ist. Wenn Sie auf OK klicken, wird das Zertifikat akzeptiert und im Schlüsselspeicher gespeichert. Es wird dann bei jedem nachfolgenden Versuch zur Herstellung einer Verbindung zu diesem Server verwendet. Sie werden nicht nochmals zur Überprüfung des Zertifikats aufgefordert.
Sie können die Zertifikate in Ihrem Schlüsselspeicher mit dem Dienstprogramm iKeyman verwalten. Dieses Dienstprogramm wird als Komponente des IBM Java Security Socket Extension-Pakets geliefert.