AT-TLS は、z/OS® Communication Server のポリシー・エージェント (PAGENT) および TCP/IP スタックによって提供されるサービスです。 AT-TLS サービスは、z/OS で実行中のアプリケーションの代わりに SSL 接続を管理します。 z/OS アプリケーションは、SSL がパートナー・アプリケーションとの接続に使用されていることを意識しません。
以下の図は、AT-TLS の働きを示しています。 図の中の番号は、図の後に示すステップを示しています。
- ステップ 1 は、AT-TLS が使用されないときの SSL 接続を表します。この場合、WebSphere® Message
Broker およびパートナー・アプリケーションで共に SSL が使用可能であることが必要です。
- SSL ハンドシェークは、TCP レイヤーで AT-TLS によって管理されます。
- インバウンドまたはアウトバウンドのアプリケーション・データが WebSphere Message
Broker によって平文で受信または送信されます。 TCP レイヤーは、パートナー・アプリケーションからのインバウンド・データを検証して暗号化解除するか、またはパートナー・アプリケーションへのアウトバウンド・データを暗号化します。
- インバウンドまたはアウトバウンドのアプリケーション・データは、SSL によって保護されます。
AT-TLS のコンポーネント
- RACF® 鍵リング
- RACF 鍵リングには、WebSphere Message
Broker の個人証明書およびパートナー・アプリケーションの署名者証明書が含まれます。
- AT-TLS ポリシー
- このファイルには、AT-TLS によって管理される SSL 接続を制御するための規則およびポリシーが含まれます。 これらのポリシーは、ネットワーク管理者によって作成され、TCP/IP スタックの TCP ネットワーク・レイヤーによって検査および実施されます。
- ポリシー・エージェント
- このコンポーネントは、AT-TLS ポリシーなどのネットワーク・ポリシーを管理して、TCP/IP スタック (1 つまたは複数) に配布します。 ポリシー・エージェントは、PAGENT とも呼ばれます。 AT-TLS が正常に機能するためには、PAGENT を正しく構成し、これが作動可能になるようにしなければなりません。
- TCP/IP スタック
- TCP/IP スタックは、AT-TLS サービスを実装するコンポーネントです。
TCP ネットワーク・レイヤーで、SSL 接続がインターセプトされ、SSL ハンドシェークが実行され、データが暗号化解除および暗号化されます。 TCP/IP スタックは RACF サービスを使用して、ハンドシェークの際にパートナー・アプリケーションによって提示される証明書を検証して受け入れます。 RACF は、WebSphere Message
Broker の個人証明書を鍵リングから取り出します。