Utilización se seguridad de SSL para conexiones de Explorer

Gestión de seguridad de SSL y certificados para conexiones entre CICS Explorer y sistemas CICS.

Las conexiones entre CICS Explorer y sistemas CICS se aseguran utilizando el protocolo SSL. De forma predeterminada, la gestión de certificados está habilitada para CICS Explorer.

Nota: Java™ 7 incluye seguridad mejorada, por lo que CICS Explorer ahora sólo se conecta a los servicios TCP/IP configurados con cifrado STRONG (fuerte). CICS utiliza el cifrado STRONG de forma predeterminada. El nivel MEDIO de cifrado que ofrece CICS ya no es compatible. Si intenta conectar CICS Explorer v5.1 o posterior con una región de CICS con nivel MEDIO de cifrado, recibirá estos errores:

En Explorer:

IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"

En el registro de trabajo:

DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL.
Reason: No common ciphers negotiated.
Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

Puede utilizar el diálogo Gestión de seguridad y certificados para activar o desactivar SSL, y para definir almacenes de claves para sus certificados.

El diálogo de gestión de seguridad y certificados

Puede utilizar el diálogo Gestión de seguridad y certificados para definir un almacén de claves y un almacén de confianza. Un almacén de claves es un archivo cifrado que contiene el certificado que el sistema presenta a otro sistema para describirse a sí mismo. Un almacén de confianza es un tipo de almacén de claves que contiene los certificados SSL utilizados para controlar la autenticación de conexión a servidores. El almacén de confianza puede mantenerse en una ubicación central. El diálogo también contiene algunos parámetros opcionales que proporcionan control explícito de algunos de los protocolos utilizados durante la negociación de conexión. Solicite a su administrador de red que le proporcione información sobre los almacenes de claves de su organización.

CICS Explorer proporciona un almacén de claves predeterminado en el espacio de trabajo del usuario que puede servir como un almacén de confianza y un almacén de claves. La frase de contraseña predeterminada para el almacén de confianza es changeit

Nota: Deje al Protocolo de socket seguro establecido en valor predeterminado a menos que su administrador de red le indique lo contrario. Cuando se establece en valor predeterminado, CICS Explorer negocia automáticamente la conexión más segura con el servidor.

Para obtener más información, consulte Gestión de certificados y seguridad de SSL

El diálogo Añadir conexión de interfaz de gestión de CICS contiene un recuadro de selección para seleccionar la seguridad de SSL para la conexión.

Diálogo Añadir conexión de interfaz de gestión de CICS

Nota: Cuando intente conectase, puede que reciba el mensaje IZE0106E Connect failed with error "Unexpected end of file from server", incluso cuando ha establecido Conexión segura (SSL) correctamente. Esta excepción también se aplicaría si el puerto no estuviera en uso en el servidor. Por motivos de seguridad, el puerto de SSL no responde con la razón para el error de conexión, denegar información útil a un usuario no autorizado.

Cuando realiza una conexión, CICS Explorer comprueba que los valores de SSL sean los mismos. Si, por ejemplo, no selecciona el recuadro de selección Conexión segura (SSL) y el servidor espera a SSL, la conexión falla. En el primer intento de realizar esta conexión, CICS Explorer mostrará un mensaje que indica la discordancia y le ofrece la oportunidad de volver a intentar realizar la conexión con SSL habilitado.

El mensaje indica que la conexión ha fallado porque la selección de SSL no coincidió en cada final de la conexión.

El diálogo de ambigüedad sólo se muestra para conexiones existentes/antiguas donde el valor de SSL no ha sido confirmado por una versión anterior de CICS Explorer como una actualización de Explorer o una importación (no carga).

Si se conecta a un servidor por primera vez, CICS Explorer le solicitará que acepte el certificado si no existe en los almacenes de claves.

Alerta de certificado

Lea le información del certificado detenidamente y asegúrese de que esta conexión sea con el servidor que espera y de que la conexión sea válida. Si pulsa Aceptar, el certificado se aceptará y almacenará en el almacén de claves. A continuación, será utilizado en cada intento posterior de conectarse con este servidor. No se le volverá a solicitar que compruebe el certificado.

Puede gestionar los certificados en su almacén de claves con IBM Key Management Tool (ikeyman). Esta herramienta se proporciona como parte de IBM Java.