为 Explorer 连接使用 SSL 安全性

CICS Explorer® 和 CICS® 系统之间的连接管理 SSL 安全性和证书。

CICS Explorer 和 CICS 系统之间的连接使用 SSL 协议进行保护。缺省情况下,将为 CICS Explorer 启用证书管理。

注: Java™ 7 包含增强的安全功能,因此现在 CICS Explorer 只连接到配置为强加密的 TCP/IP 服务。缺省情况下,CICS 使用强大加密。由 CICS 提供的中级加密不再合规。 如果尝试将 CICS Explorer V5.1 或更高版本连接到具有中等加密级别的 CICS 区域,那么将收到以下错误:

在 Explorer 中:

IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"

在作业日志中:

DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. 
Reason: No common ciphers negotiated. 
Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

您可以使用“安全性和证书管理”对话框来打开或关闭 SSL,并为您的证书定义密钥库。

“安全性和证书管理”对话框

您可以使用“安全性和证书管理”对话框来定义密钥库信任库密钥库是一个加密文件,其中包含一份证书,您的系统将向其他系统提供此证书以描述自身。信任库是一种密钥库类型,其中包含 SSL 证书,用于控制向服务器进行连接认证。可以将信任库保存在一个中央位置。该对话框还包含一些可选参数,用于提供对连接协商期间使用的某些协议的显式控制。请询问网络管理员,以了解有关贵组织内密钥库的信息。

CICS Explorer 在用户工作空间中提供了一个缺省密钥库,该密钥库可同时充当信任库和密钥库。信任库的缺省口令是 changeit

注: 除非有网络管理员的指示,否则请保持将安全套接字协议设置为缺省值。当设置为缺省值时,CICS Explorer 将自动与服务器协商最安全的连接。

有关更多信息,请参阅管理 SSL 安全性和证书

添加 CICS 管理接口连接对话框包含了一个复选框,用于为连接选择 SSL 安全性。

“添加 CICS 管理接口连接”对话框

注: 您尝试连接时,可能收到消息 IZE0106E 连接失败,发生错误“来自服务器的意外文件结束”,即使您正确设置了安全连接 (SSL) 也如此。 如果服务器上的端口未在使用中,该异常也适用。出于安全原因,SSL 端口由于连接故障的缘故而未响应,以拒绝向未授权用户提供有用信息。

您进行连接时,CICS Explorer 将检查 SSL 设置是否相同。例如,如果您未选中安全连接 (SSL) 复选框并且服务器需要 SSL,连接将失败。在第一次尝试进行此连接时,CICS Explorer 将显示一条消息,指出不匹配之处并为您提供在启用 SSL 的情况下重试连接的机会。

该消息指示由于连接两端的 SSL 选择项不匹配而导致连接失败。

仅为其中先前版本的 CICS Explorer(例如,Explorer 升级或导入,非装入)没有确认 SSL 设置的现有/旧连接显示“模糊性”对话框。

当您第一次连接某个服务器时,如果证书在密钥库中不存在,CICS Explorer 将提示您接受该证书。

证书警报

请仔细阅读证书中的信息,并确保此连接是与您所预期的服务器的连接并且该连接有效。如果您单击确定,将接受证书并将其存储在密钥库中。然后,在后续每次尝试与此服务器连接时都将使用该证书。将不会再提示您检查该证书。

您可以使用 IBM 密钥管理工具 (ikeyman) 来管理您的密钥库中的证书。此工具作为 IBM Java 的一部分提供。