IBM® Configuration Assistant for z/OS® Communications Server を使用して、AT-TLS ポリシーを定義およびインストールします。
AT-TLS ポリシーは、IBM Configuration Assistant for z/OS Communications Server を使用して作成できます。これは IBM からダウンロード可能な Java™ アプリケーションです。
以下のステップを実行して、SOAPInput および SOAPInput ノードを実行する WebSphere® Message
Broker for z/OS のために SSL サポートを有効にするのに必要なポリシーを定義します。
- をクリックして、構成アシスタントを開始します。
- 「新しい z/OS イメージの追加」をクリックし、z/OS イメージ (LPAR) の名前と説明を入力して、「OK」をクリックします。
- 「構成アシスタントのナビゲーション」ペインで、ステップ 2 で追加したイメージを選択し、「新しい TCP/IP スタックの追加」をクリックしてから、スタックの名前と説明を入力して、「OK」をクリックします。
- 「構成アシスタントのナビゲーション」ペインで、ステップ 3 で追加したスタックを選択して、テクノロジーのリストから「AT-TLS」を選択してから、「使用可能」をクリックします。
- 「構成」をクリックします。
- 「追加」をクリックします。 「コネクティビティー規則」ウィザードが開きます。 「次へ」をクリックします。
- 以下のフィールドを完成させて、データ・エンドポイントを識別します。 汎用の規則でテストは実行可能になりますが、後により詳細な指定を行うことができます。
- 「ローカル・データ・エンドポイント」フィールドで、「ALL_IP_Addresses」を選択します。
- 「リモート・データ・エンドポイント」フィールドで、「ALL_IP_Addresses」を選択します。
- 「コネクティビティー規則名」フィールドで、規則の名前の接尾部を入力してから、「次へ」をクリックします。
- 「追加」をクリックして、要件マップを選択します。 このマップは、IP トラフィックのタイプを AT-TLS によって実装されるセキュリティー・レベルとマッチングするために使用されます。
- 要件マップの名前と説明を入力して、「トラフィック記述子の作業」をクリックします。 2 つのトラフィック記述子が必要です。1 つはインバウンド SOAP 要求用 (WebSphere Message
Broker はサーバー)、もう 1 つはアウトバウンド SOAP 要求用 (WebSphere Message
Broker はクライアント) です。
- 「追加」をクリックし、名前と説明を入力して、「OK」をクリックすることにより、インバウンド・トラフィック記述子を作成します。
- インバウンド・トラフィック記述子について、以下の詳細を入力します。
- ローカル・ポートでは、「単一ポート」を選択して、ポート番号を 7800 (SOAPInput ノードが通常 listen するポート) に設定します。
- リモート・ポートでは、「すべてのポート」を選択します。
- 「TCP 接続方向の指定」フィールドを「インバウンドのみ」に設定します。
- 「Jobname」フィールドに、アスタリスク (*) を入力します。
- 「ユーザー ID」フィールドに、アスタリスク (*) を入力します。
- 「次の鍵リング・データベースを使用」を選択します。
- 「鍵リングは SAF 製品 (RACF など) 内にあります」を選択して、鍵リングの名前を入力します。
- AT-TLS ハンドシェークの役割を「サーバー」に設定して、「AT-TLS 拡張」をクリックします。
- WebSphere Message
Broker 個人証明書のラベルを入力して、「OK」をクリックします。
- 「OK」をクリックしてインバウンド SOAP トラフィックのトラフィック詳細を保存してから、「OK」をクリックしてインバウンド SOAP のトラフィック記述子を作成します。
- 「追加」をクリックし、名前と説明を追加して、「OK」をクリックすることにより、アウトバウンド・トラフィック記述子を作成します。
- アウトバウンド・トラフィック記述子について、以下の詳細を入力します。
- ローカル・ポートでは、「すべてのポート」を選択します。
- リモート・ポートでは、「単一ポート」を選択して、ポート番号を「7843」に設定します。
- 「TCP 接続方向の指定」を「アウトバウンドのみ」に設定します。
- 「Jobname」フィールドに、アスタリスク (*) を入力します。
- 「ユーザー ID」フィールドに、アスタリスク (*) を入力します。
- 「次の鍵リング・データベースを使用」を選択します。
- 「鍵リングは SAF 製品 (RACF など) 内にあります」を選択して、鍵リングの名前を入力します。
- AT-TLS ハンドシェークの役割を「クライアント」に設定して、「AT-TLS 拡張」をクリックします。
- WebSphere Message
Broker 個人証明書のラベルを入力して、「OK」をクリックします。
- 「OK」をクリックしてアウトバウンド SOAP トラフィックのトラフィック詳細を保存してから、「OK」をクリックしてアウトバウンド SOAP のトラフィック記述子を作成します。
- 「クローズ」をクリックします。
- WebSphere Message
Broker のセキュリティー・レベルを作成するには、「セキュリティー・レベルの作業」をクリックしてから、「追加」をクリックします。
- 「名前およびタイプ」タブで、名前と説明を入力します。
- 「暗号」タブで、「TLS V1 を使用」、「SSL V3 を使用」、
および「System SSL のデフォルトを使用」を選択して、「OK」をクリックします。
- トラフィック記述子を要件マップに追加するには、オブジェクト・リストから「SOAP_Server」および「SOAP_Client」を選択して、「追加」をクリックします。
- トラフィック記述子ごとに、ステップ 17 で作成した AT-TLS セキュリティー・レベルを選択して、「OK」をクリックします。
- 「次へ」をクリックし、規則が適用されるときのトレース・レベル、チューニング・パラメーター、およびタイミングの設定に使用される、「オプションのコネクティビティー規則の設定」を適切に設定します。
- 「終了」をクリックします。
- AT-TLS 規則に対する変更を保存するには、「変更の適用」をクリックしてから、「メイン・パースペクティブ」をクリックします。
- AT-TLS ポリシーをインストールするには、「AT-TLS テクノロジー」を選択し、「インストール」をクリックし、「FTP」をクリックして、ポリシー・ルールを LPAR に送信します。
- FTP パラメーターを以下のように指定します。
- LPAR ホスト名を入力して、ポート番号を 21 に設定します。
- ユーザー ID およびパスワードを入力します。
- AT-TLS ポリシー・ファイルの場所および名前 (例えば、/etc/pagent/TCPIP_TTLS.policy) を入力します。
- 「デフォルトの転送モード」を選択します。
- 「送信」をクリックして、ファイル転送が完了するまで待ってから、その転送が正常に行われたことを確認します。
- 「クローズ」をクリックします。
- ファイル転送の後に、PAGENT をリフレッシュまたは再始動します。
AT-TLS ポリシーが作成されてデプロイされました。
次の処理: AT-TLS のテストおよび検証の手順を実行して、
WebSphere Message
Broker の AT-TLS をテストおよび検証します。