CICSRequest ノードを構成して、Secure Sockets Layer (SSL) プロトコルを使って CICS® Transaction Server for z/OS® と通信できるようにします。
そのためには、SSL を使用するよう CICSConnection 構成可能サービスまたは CICSRequest ノードを更新します。
始める前に:以下のタスクを完了したことを確認してください。
- CICSRequest ノードは別個のトラストストアをサポートしていないため、鍵ストア・ファイルは個人証明書と署名者証明書の両方を提供する必要があります。 CICS の TCPIPSERVICE でクライアント認証 (CLIENTAUTH) が有効になっている場合、ブローカーの鍵ストア・ファイルには、CICS から信頼されている個人証明書も入っている必要があります。 Public Key Infrastructure (PKI) をブローカー・レベルまたは実行グループ・レベルでセットアップするには、Public Key Infrastructure のセットアップの指示に従います。
- CICS Transaction Server for z/OS データ構造の定義で説明されているように、COMMAREA データ構造をメッセージ・セットとして定義します。
- CICSRequest ノードの環境の準備で説明されているように、CICS 上に IP InterCommunications (IPIC) プロトコルを構成します。
SSL を使用するよう IMSRequest ノードを構成するには、以下のステップを実行します。
- クライアント認証された (CLIENTAUTH) SSL 接続では、
CICS は、SSL クライアント証明書が
RACF® ユーザー ID にマップされることを期待します。 そのため、SSL クライアント証明書は、
CICS への SSL 接続の確立を試行する前に、
RACF ユーザー ID にマップされる必要があります。 クライアント証明書が
RACF ユーザー ID にマップされない場合、
ブローカーが ECI_ERR_NO_CICS 応答を表示する可能性があります。
クライアント証明書を RACF データベースに保管したり、
それをユーザー ID と関連付けたりする RACF コマンド RACDCERT
を使用するか、または RACF 証明書名フィルタリングを使用することによって、
クライアント証明書を RACF ユーザー ID にマップすることができます。 クライアント証明書はユーザー ID と 1 対 1 でマップすることができます。
または、一方から他方へのマッピングも提供されており、これによって
多対 1 のマッピングも可能です。 このマッピングは、以下のいずれかの方法を
使用して実現できます。
- クライアント証明書と RACF ユーザー ID の関連付け
- 処理する証明書を MVS™ 順次ファイルにコピーします。 このファイルには可変長、
ブロック・レコード (RECFM=VB) があり、TSO からアクセス可能でなければなりません。
- 次の構文を使用して、TSO で RACDCERT コマンドを実行します。
RACDCERT ADD('datasetname') TRUST [ ID(userid) ]
それぞれの意味は以下のとおりです。
- datasetname は、クライアント証明書が含まれるデータ・セットの名前です。
- userid は、この証明書に関連付けるユーザー ID です。 このパラメーターはオプションです。
省略すると、証明書は
RACDCERT コマンドを発行するユーザーに関連付けられます。
RACDCERT コマンドを発行するときに、RACF は DIGTCERT クラスにプロファイルを作成します。 このプロファイルは証明書とユーザー ID を関連付けます。 これにより、このプロファイルを使用して、
パスワードを入力しなくても証明書をユーザー ID に変換できるようになります。 RACF コマンドの完全な詳細については、
「z/OS Security Server RACF コマンド言語 解説書」を参照してください。
- RACF 証明書名フィルタリング
証明書名フィルタリングでは、クライアント証明書は
RACF データベースに保管されません。
証明書の所有者または発行者 (CA) の識別名に一致するフィルター規則を定義することによって、1 つ以上の証明書と RACF ユーザー ID が関連付けられます。 フィルター規則のサンプルは、以下の例のようになります。
RACDCERT ID(DEPT3USR) MAP SDNFILTER
(OU=DEPT1.OU=DEPT2.O=IBM.L=LOC.SP=NY.C=US)
このフィルター規則のサンプルは、証明書の所有者の識別名に、組織単位として DEPT1 および DEPT2、
組織として IBM®、局所性として LOC、州として NY、国として US がそれぞれ含まれている場合、ユーザー ID DEPT3USR とすべての証明書を関連付けます。
- ブローカーで SSL サポートをオンにします。
そのためには、以下の例に示されているように、CICSConnection 構成可能サービスで cicsServer プロパティーを設定します。 この例では、mycicsregion.com のポート 56789 で稼働する CICS インスタンスのために myCICSConnection 構成可能サービスを使用するよう構成された、CICSRequest ノードを変更します。
このコマンドを実行した後、CICSRequest ノードは SSL を使用して CICS に接続します。
mqsichangeproperties MB8BROKER -c CICSConnection -o myCICSConnection -n
cicsServer -v ssl://mycicsregion.com:56789
あるいは、CICSRequest ノード上で直接「CICS サーバー」プロパティーを構成することもできます。
次の処理: SSL を使用するようブローカーまたは
CICSRequest ノードを構成した後、
CICSRequest ノードでのメッセージ・フローの開発の手順に従って、
CICSRequest ノードを含んだメッセージ・フローを開発します。