Explorer 接続での SSL セキュリティー
必要に応じて、Secure Sockets Layer (SSL) プロトコルを使用して CICS Explorer® と CICS® システムとの間の接続を保護することができます。CICS Explorer と CICS システムの間の接続を保護するために適用するセキュリティーおよび証明書管理の設定を指定し、各 CICS システムの接続を構成する際にセキュリティーを使用するかどうかを指定します。
セキュリティーおよび証明書管理の設定
デフォルトでは、CICS Explorer に対して証明書管理が有効にされています。
- CICS Explorer: IZE0106E エラー "javax.net.ssl.SSLHandshakeException: 重大なアラートを受信しました: handshake_failure (SYSA CMCI SECURE)" で接続は失敗しました (IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)")
- ジョブ・ログ: DFHSO0123 09/19/2012 10:13:22 IYCYZC2K システム SSL の関数 'gsk_secure_socket_init' から戻りコード 402 を受け取りました。(DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL.) 理由: 共通の暗号がネゴシエーションされませんでした。(Reason: No common ciphers negotiated.) ピア: 9.20.210.250, TCPIPSERVICE: XFHWUTCP。(Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.)
「プリファレンス」ウィンドウの「セキュリティーおよび証明書管理」ペインを使用して、 信頼性の検査をオン/オフにしたり、証明書の鍵ストアを定義したり、スマート・カードのアクセスを構成したりできます。

- 鍵ストア とは、認証を受けるために別のシステムに提示する証明書が含まれた暗号化ファイルです。
- トラストストア とは、信頼できるサーバーであることを検証するために使用する SSL 証明書が含まれた一種の鍵ストアです。 トラストストアは、1 つの中心地点に保持できます。
- スマート・カード または CAC (共通アクセス・カード) とは、物理カード上に保持された鍵ストアです。 このカードは PC のリーダーに挿入するものであり、ホスト・サーバーで認証を受けるために使用する証明書を含んでいます。 スマート・カードへのアクセスに対応したドライバーをインストールし、 ディスクまたは Windows 上の特定の PKCS11 ドライバーを構成し、オペレーティング・システムの暗号化サポートを使用する必要があります。
接続ネゴシエーション中に使用される一部のプロトコルを明示的に制御するいくつかのオプション・パラメーターを使用することもできます。 個別の各組織での鍵ストアの使用方法に関する情報は、ネットワーク管理者に確認してください。
CICS Explorer は、ユーザーのワークスペースで、トラストストアと鍵ストアの両方として機能できる、デフォルトの鍵ストアを提供します。トラストストアのデフォルトのパスフレーズは changeit です。
詳しくは、SSL セキュリティーと証明書の管理を参照してください。
CICS システム接続の構成
CICS システム接続を構成する場合、接続に対して SSL セキュリティーを選択するオプションが「接続を追加」ウィンドウに含まれています。証明書認証は、SSL で保護された接続でのみ使用できます。 次の例には、「CMCI 接続を追加」ウィンドウが示されています。

- IZE0106E エラー "サーバーからの予期しないファイルの終わり" で接続が失敗しました (IZE0106E Connect failed with error "Unexpected end of file from server")
接続するときに、CICS Explorer は、それぞれの SSL 設定が各接続の終了時に同じであることを検査します。例えば、「セキュア接続 (TLS/SSL)」を選択しない場合、サーバー側で SSL を使用することになっていれば、接続は失敗します。 この状況では、最初の接続の試行で、CICS Explorer に不一致を示すメッセージが表示され、SSL を有効にしてもう一度接続を試行するオプションが提供されます。

SSL 設定が以前のバージョンの CICS Explorer によって確認されていない既存の接続または古い接続 (Explorer のアップグレードやインポート (ロードではない) など) の場合のみ、あいまいに関するこのダイアログが表示されます。
初めてサーバーに接続するときに証明書が鍵ストアに存在しない場合には、CICS Explorer は、証明書を受け入れるように促すプロンプトを出します。

証明書の情報を注意深く読み、この接続が必要とするサーバーへの接続であり、この接続が妥当であることを確認してください。 「OK」をクリックすると、証明書が承認され、鍵ストアに保管されます。 この証明書は、この後、このサーバーとの接続を試行するたびに使用されます。 証明書を確認するプロンプトは、再び出されることはありません。
鍵ストア内の証明書は iKeyman ユーティリティーを使用して管理できます。 このユーティリティーは、IBM Java Security Socket Extension パッケージの一部として提供されます。