Usando a Segurança SSL para Conexões do Explorer

Gerenciando a segurança e certificados SSL para conexões entre sistemas CICS Explorer e CICS.

As conexões entre sistemas CICS Explorer e CICS são protegidas usando o protocolo SSL. Por padrão, o gerenciamento de certificado é ativado para o CICS Explorer.

Nota: O Java™ 7 inclui segurança aumentada, portanto, o CICS Explorer agora conecta-se apenas aos serviços TCP/IP configurados com criptografia STRONG. O CICS usa criptografia AVANÇADA por padrão. O nível MÉDIO de criptografia oferecido pelo CICS não é mais compatível. Se você tentar uma conexão CICS Explorer v5.1, ou posterior, com uma região do CICS com um nível de criptografia MEDIUM, você receberá esses erros:

No Explorer:

IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"

No log da tarefa:

DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. 
Reason: No common ciphers negotiated. 
Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

É possível usar o diálogo Segurança e Gerenciamento de Certificado para ativar ou desativar o SSL e para definir armazenamentos de chaves para seus certificados.

O diálogo segurança e gerenciamento de certificado

É possível usar o diálogo Segurança e Gerenciamento de Certificado para definir um armazenamento de chaves e um armazenamento confiável. Um armazenamento de chaves é um arquivo criptografado que contém o certificado que seu sistema apresenta para outro sistema para descrever a si mesmo. O armazenamento de confiança é um tipo de armazenamento de chaves que contém certificados SSL usados para controlar a autenticação de controle dos servidores. O armazenamento confiável pode ser mantido em um local central. O diálogo também contém alguns parâmetros opcionais que fornecem controle explícito de alguns dos protocolos usados durante a negociação de conexão. Pergunte ao seu administrador de rede para obter informações sobre o armazenamento de chaves em sua organização.

O CICS Explorer fornece um armazenamento de chaves padrão na área de trabalho do usuário que pode servir como um armazenamento confiável e armazenamento de chaves. O passphrase padrão para o armazenamento confiável é changeit

Nota: Deixe o protocolo de soquete seguro configurado como default, a menos que seja instruído por seu administrador da rede. Quando configurado como default, o CICS Explorer negociará automaticamente a conexão mais segura com o servidor.

Para obter informações adicionais, consulte Gerenciando a Segurança e Certificados SSL

O diálogo Incluir Conexão de Interface de Gerenciamento CICS contém uma caixa de seleção para selecionar segurança SSL para a conexão.

Diálogo Incluir Conexão de Interface de Gerenciamento CICS

Nota: Ao tentar conectar-se, você pode receber a mensagem IZE0106E A conexão falhou com o erro "Fim de arquivo inesperado do servidor", mesmo quando tiver configurado a Conexão segura (SSL) corretamente. Esta exceção também se aplicará se a porta não estiver em uso no servidor. Por motivos de segurança, a porta SSL não responde com o motivo da falha da conexão, para negar informações úteis a um usuário não autorizado.

Quando uma conexão é estabelecida, o CICS Explorer verifica se as configurações de SSL são as mesmas. Se, por exemplo, você não selecionar a caixa de seleção Conexão segura (SSL) e o servidor esperar SSL, a conexão falhará. Na primeira tentativa de estabelecer essa conexão, o CICS Explorer exibirá uma mensagem indicando a incompatibilidade e oferecendo a oportunidade de tentar novamente a conexão com SSL ativado.

A mensagem indica que a conexão falhou porque a seleção de SSL não correspondia em cada extremidade da conexão.

O diálogo Ambiguidade é mostrado apenas para conexões existentes/antigas, onde a configuração de SSL não foi confirmada por uma versão anterior do CICS Explorer, como um upgrade ou uma importação do Explorer (não carregado).

Se você tentar se conectar a um servidor pela primeira vez, o CICS Explorer solicitará que aceite o certificado, se ele não existir nos armazenamentos de chaves.

Alerta de certificado

Leia com atenção as informações no certificado e certifique-se de que esta conexão seja com o servidor esperado e que a conexão seja válida. Se você clicar em OK, o certificado será aceito e armazenado no armazenamento de chaves. Ele será então usado em cada tentativa subsequente de conectar-se a este servidor. Não será solicitado novamente que verifique o certificado.

É possível gerenciar os certificados em seu armazenamento de chaves com o IBM Key Management Tool (ikeyman). Essa ferramenta é fornecida como parte do IBM Java.