Utilisation de la sécurité SSL pour des connexions Explorer

Gestion des certificats et de la sécurité SSL pour des connexions entre les systèmes CICS Explorer et CICS.

Les connexions entre les systèmes CICS Explorer et CICS sont sécurisées grâce au protocole SSL. Par défaut, la gestion de certificats est activée pour CICS Explorer.

Remarque : Java™ 7 offre une sécurité améliorée, de sorte qu'CICS Explorer se connecte désormais uniquement aux services TCP/IP configurés avec un chiffrement renforcé. CICS utilise le chiffrement renforcé par défaut. Le niveau moyen du chiffrement proposé par CICS n'est plus compatible. Si vous essayez de connecter CICS Explorer v5.1 à une région CICS avec le niveau moyen de chiffrement, vous recevrez les erreurs suivantes :

Dans Explorer :

IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"

Dans le journal de travail :

DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. 
Reason: No common ciphers negotiated. 
Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

Vous pouvez utiliser la boîte de dialogue Security and certificate management (Gestion de la sécurité et des certificats) pour activer ou désactiver le SSL et définir des fichiers de clés pour vos certificats.

Boîte de dialogue Gestion de la sécurité et des certificats

Vous pouvez utiliser la boîte de dialogue Security and certificate management (Gestion de la sécurité et des certificats) pour définir un fichier de clés et un fichier de clés certifiées. Un fichier de clés est un fichier chiffré qui contient le certificat que votre système présente à un autre système pour se décrire. Un fichier de clés certifiées est un type de fichier de clés qui contient les certificats SSL utilisés pour contrôler l'authentification de connexion aux serveurs. Le fichier de clés certifiées peut être maintenu à un emplacement central. La boîte de dialogue contient également des paramètres facultatifs qui offrent un contrôle explicite de certains des protocoles utilisés au cours de la négociation de connexion. Demandez à votre administrateur de réseau des informations sur les fichiers de clés de votre organisation.

CICS Explorer fournit un fichier de clés par défaut dans l'espace de travail de l'utilisateur, qui peut servir en tant que fichier de clés certifiées et en tant que fichier de clés. La phrase de passe par défaut du fichier de clés certifiées est changeit

Remarque : Laissez le paramètre Secure socket protocol (Protocole de connexion sécurisée) défini sur default (par défaut) sauf instruction contraire de votre administrateur réseau. Lorsque la valeur est définie sur default, CICS Explorer négocie automatiquement la connexion la plus sécurisée avec le serveur.

Pour plus d'informations, voir Gestion des certificats et de la sécurité SSL.

La boîte de dialogue Add CICS Management Interface Connection (Ajouter une connexion d'interface de gestion CICS) comporte une case à cocher permettant de sélectionner la sécurité SSL pour la connexion.

Boîte de dialogue Ajouter une connexion à l'interface de gestion CICS

Remarque : Lorsque vous essayez de vous connecter, vous pouvez recevoir le message IZE0106E Connect failed with error "Unexpected end of file from server" (ISZ0106E Echec de la connexion avec l'erreur "Fin de fichier inattendue depuis le serveur"), même si vous avez correctement défini Secure connection (SSL). Cette exception s'appliquerait également si le port n'était pas en cours d'utilisation sur le serveur. Pour des raisons de sécurité, le port SSL ne répond pas par la raison de la panne de connexion, afin de ne pas apporter d'informations utiles à un utilisateur non autorisé.

Lorsque vous réalisez une connexion, CICS Explorer vérifie que les paramètres SSL sont identiques. Si, par exemple, vous ne cochez pas la case Secure connection (SSL) et si le serveur s'attend à recevoir du SSL, la connexion échouera. Lors de la première tentative d'établissement de cette connexion, CICS Explorer affichera un message indiquant la non-concordance et vous permettra de réessayer la connexion en activant SSL.

Le message indique que la connexion a échoué car la sélection SSL n'était pas identique à chaque extrémité de la connexion.

La boîte de dialogue Ambiguïté ne s'affiche que pour les connexions existantes/anciennes dans lesquelles le paramètre SSL n'a pas été confirmé par une version précédente de CICS Explorer telle qu'une mise à niveau d'Explorer ou une importation (et non un chargement).

Si vous vous connectez à un serveur pour la première fois, CICS Explorer vous demandera d'accepter le certificat s'il n'existe pas dans les fichiers de données.

Alerte de certificat

Lisez attentivement les informations dans le certificat et vérifiez que cette connexion s'effectue vers le serveur que vous attendez et que la connexion est valide. Si vous cliquez sur OK, le certificat sera accepté et stocké dans le fichier de clés. Il sera ensuite utilisé à chaque tentative suivante de connexion à ce serveur. Il ne vous sera pas redemandé de vérifier le certificat.

Vous pouvez gérer les certificats dans votre fichier de clés à l'aide de l'outil IBM Key Management Tool (ikeyman). Cet outil est fourni dans le cadre d'IBM Java.