Verwenden der SSL-Sicherheit für Explorer-Verbindungen

Verwalten der SSL-Sicherheit und der zugehörigen Zertifikate für Verbindungen zwischen CICS Explorer- und CICS-Systemen.

Verbindungen zwischen CICS Explorer- und CICS-Systemen werden mithilfe des SSL-Protokolls gesichert. Die Zertifikatsverwaltung ist für CICS Explorer standardmäßig aktiviert.

Anmerkung: Java™ 7 umfasst eine erweiterte Sicherheitsfunktion, die es CICS Explorer nun ermöglicht, Verbindungen ausschließlich zu TCP/IP-Services herzustellen, die mit starker Verschlüsselung (STRONG) konfiguriert wurden. CICS verwendet die starke Verschlüsselung (STRONG) standardmäßig. Die Verschlüsselungsstufe MEDIUM, die von CICS unterstützt wurde, ist nicht mehr kompatibel. Wenn Sie versuchen, zwischen CICS Explorer ab Version 5.1 und einer CICS-Region eine Verbindung mit der Verschlüsselungsstufe MEDIUM herzustellen, erhalten Sie die folgenden Fehlernachrichten:

Im Explorer:

IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"

Im Jobprotokoll:

DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. 
Reason: No common ciphers negotiated. 
Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

Sie können den Dialog "Sicherheits- und Zertifikatsverwaltung" verwenden, um SSL ein- oder auszuschalten und um Schlüsselspeicher für Ihre Zertifikate zu definieren.

Dialog "Sicherheits- und Zertifikatsverwaltung"

Sie können den Dialog "Sicherheits- und Zertifikatsverwaltung" verwenden, um einen Schlüsselspeicher und einen Truststore zu definieren. Bei einem Schlüsselspeicher handelt es sich um eine verschlüsselte Datei, die das Zertifikat enthält, das Ihr System bei einem anderen System angibt, um seine Beschreibung bereitzustellen. Bei einem Truststore handelt es sich um einen speziellen Schlüsselspeicher, der die SSL-Zertifikate enthält, die zur Steuerung der Verbindungsauthentifizierung gegenüber Servern verwendet werden. Der Truststore kann an einer zentralen Position eingerichtet werden. Der Dialog enthält darüber hinaus einige optionale Parameter, die eine explizite Steuerung bestimmter Protokolle ermöglichen, die während der Verbindungsvereinbarung verwendet werden. Wenden Sie sich an Ihren Netzadministrator, wenn Sie Informationen zu den in Ihrem Unternehmen verwendeten Schlüsselspeichern benötigen.

CICS Explorer stellt einen standardmäßigen Schlüsselspeicher im Arbeitsbereich des Benutzers bereit, der sowohl als Truststore als auch als Schlüsselspeicher eingesetzt werden kann. Die standardmäßige Kennphrase des Truststores lautet changeit.

Anmerkung: Übernehmen Sie für Sicheres Socketprotokoll die Einstellung Standard, sofern Sie vom Netzadministrator keine anderen Anweisungen erhalten. Bei der Einstellung Standard vereinbart CICS Explorer automatisch die Serververbindung mit dem höchsten Sicherheitsgrad.

Weitere Informationen zu diesem Thema finden Sie unter Verwalten der SSL-Sicherheit und -Zertifikate.

Der Dialog CICS-Managementschnittstellenverbindung hinzufügen enthält ein Kontrollkästchen, mit dem die SSL-Sicherheit für die Verbindung ausgewählt werden kann.

Dialog "CICS-Managementschnittstellenverbindung hinzufügen"

Anmerkung: Wenn Sie versuchen, eine Verbindung herzustellen, wird möglicherweise die Nachricht IZE0106E Verbindung mit Fehler "Unerwartetes Dateiende vom Server" fehlgeschlagen ausgegeben. Dies kann auch dann der Fall sein, wenn Sie die Einstellung für Sichere Verbindung (SSL) korrekt definiert haben. Diese Ausnahme gilt auch dann, wenn der Port auf dem Server nicht belegt war. Aus Sicherheitsgründen gibt der SSL-Port nicht die Ursache für das Fehlschlagen der Verbindung zurück, damit nützliche Informationen nicht in die Hände unbefugter Benutzer gelangen.

Wenn Sie eine Verbindung herstellen, überprüft CICS Explorer, ob die SSL-Einstellungen identisch sind. Wenn Sie z. B. das Kontrollkästchen Sichere Verbindung (SSL) nicht ausgewählt haben, der Server jedoch die Verwendung von SSL erwartet, schlägt die Verbindung fehl. Beim ersten Versuch diese Verbindung herzustellen, zeigt CICS Explorer eine Nachricht an, in der Sie über diese Abweichung informiert werden, sodass Sie die Möglichkeit haben, die Verbindungsherstellung mit aktiviertem SSL zu wiederholen.

Die Nachricht gibt an, dass die Verbindung fehlgeschlagen ist, weil die SSL-Auswahl an den beiden Verbindungsendpunkten unterschiedlich war.

Der Dialog zu dieser Mehrdeutigkeit wird nur für vorhandene/alte Verbindungen angezeigt, bei denen die SSL-Einstellung nicht durch eine vorherige Version von CICS Explorer (z. B. ein Explorer-Upgrade oder einen Import (keine Ladeoperation)) bestätigt wurde.

Wenn Sie zum ersten Mal eine Verbindung zu einem Server herstellen, fordert Sie CICS Explorer zur Annahme des Zertifikats auf, sofern es nicht in den Schlüsselspeichern vorhanden ist.

Zertifikatsalert

Lesen Sie die Informationen im Zertifikat sorgfältig durch und vergewissern Sie sich, dass diese Verbindung zu dem Server hergestellt wird, den Sie verwenden möchten, und dass die Verbindung zulässig ist. Wenn Sie auf OK klicken, wird das Zertifikat akzeptiert und im Schlüsselspeicher gespeichert. Es wird dann bei jedem nachfolgenden Versuch zur Herstellung einer Verbindung zu diesem Server verwendet. Sie werden nicht nochmals zur Überprüfung des Zertifikats aufgefordert.

Sie können die Zertifikate in Ihrem Schlüsselspeicher mit dem IBM Key Management Tool (ikeyman) verwalten. Dieses Tool wird als Komponente von IBM Java geliefert.