Explorer 接続での SSL セキュリティーの使用

CICS Explorer® システムと CICS® システムの間の接続に関する SSL セキュリティーと証明書を管理します。

CICS Explorer システムと CICS システムの間の接続は、SSL プロトコルを使用して保護されます。デフォルトで、CICS Explorer に対して証明書管理が有効になっています。

注: Java™ 7 ではセキュリティーが強化されているため、CICS Explorer は、STRONG 暗号化で構成された TCP/IP サービスにのみ接続するようになりました。CICS は、デフォルトで STRONG 暗号化を使用します。 CICS により提供される MEDIUM レベルの暗号化は非互換になりました。 MEDIUM レベルの暗号化で CICS Explorer v5.1 以降を CICS 領域に接続しようとすると、以下のエラーを受け取ることになります。

Explorer の場合、

IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"

ジョブ・ログにおいて、

DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. 
Reason: No common ciphers negotiated. 
Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

「セキュリティーおよび証明書管理」ダイアログを使用すると、SSL をオン/オフにしたり、証明書の鍵ストアを定義したりできます。

「セキュリティーおよび証明書管理」ダイアログ

「セキュリティーおよび証明書管理」ダイアログを使用すると、鍵ストアトラストストア を定義できます。 鍵ストア は、使用しているシステムが別のシステムに身元を示すために提示する証明書を格納した暗号化ファイルです。 トラストストア は、サーバーへの接続認証を制御するために使用する SSL 証明書を格納する、一種の鍵ストアです。 トラストストアは、1 つの中心地点に保持できます。 ダイアログには、接続ネゴシエーション中に使用される一部のプロトコルを明示的に制御するいくつかのオプション・パラメーターも含まれます。 個別の各組織での鍵ストアの使用方法に関する情報は、ネットワーク管理者に確認してください。

CICS Explorer は、ユーザーのワークスペースで、トラストストアと鍵ストアの両方として機能できる、デフォルトの鍵ストアを提供します。トラストストアのデフォルトのパスフレーズは changeit です。

注: ネットワーク管理者から指示される場合を除き、「セキュア・ソケット・プロトコル」は、「デフォルト」に設定したままにします。 「デフォルト」に設定されていると、CICS Explorer は、サーバーとの最も安全な接続を自動的にネゴシエーションします。

詳しくは、SSL セキュリティーおよび証明書の管理を参照してください。

「CICS 管理インターフェース接続の追加 (Add CICS Management Interface Connection)」ダイアログには、接続に対して SSL セキュリティーを選択するチェック・ボックスがあります。

「CICS 管理インターフェース接続の追加 (Add CICS Management Interface Connection)」ダイアログ

注: 接続を試みるときに、「セキュア接続 (SSL)」を正しく設定していても、「IZE0106E 接続は「サーバーからの予期しないファイルの終わり」エラーで失敗しました」というメッセージを受け取る場合があります。 サーバーでポートが使用されていなかった場合にも、この例外が当てはまることがあります。 セキュリティー上の理由で SSL ポートは、無許可のユーザーに有用な情報を明かさないようにするため、接続失敗の理由による応答をしません。

接続するときに、CICS Explorer は、それぞれの SSL 設定が同じであることを検査します。例えば、「セキュア接続 (SSL) (Secure connection (SSL))」チェック・ボックスを選択しない場合、サーバー側では SSL を使用することになっていれば、接続は失敗します。 この接続の最初の試行時に、CICS Explorer は不一致があることを示すメッセージを表示します。そのメッセージの中で SSL を使用可能にして接続を再試行することを選択できます。

接続の両端の間で SSL の選択が一致しなかったため接続が失敗したことを示すメッセージ。

SSL 設定が旧バージョンの CICS Explorer によって確認されていない既存の/古い接続 (Explorer のアップグレードやインポート (ロードではない) など) の場合のみ、「あいまいさ (Ambiguity)」ダイアログが表示されます。

初めてサーバーに接続するときに証明書が鍵ストアに存在しない場合には、CICS Explorer は、証明書を受け入れるように促すプロンプトを出します。

証明書アラート

証明書の情報を注意深く読み、この接続が必要とするサーバーへの接続であり、この接続が妥当であることを確認してください。 「OK」をクリックすると、証明書が承認され、鍵ストアに保管されます。 この証明書は、この後、このサーバーとの接続を試行するたびに使用されます。 証明書を確認するプロンプトは、再び出されることはありません。

鍵ストアの証明書は、IBM 鍵管理ツール (ikeyman) を使用して管理できます。 このツールは、IBM Java の一部として提供されます。