4.6 TLS暗号化の使用

TMA TCP Gatewayは、TMA TCP for CICSまたはTMA TCP for IMSとの通信時にTLS暗号化をサポートします。

GWIDOMAINがTMA TCP GatewayとTMA TCP for CICSまたはTMA TCP for IMSの間のネットワーク・プロトコルを識別するには、コマンド行パラメータ-pを指定する必要があります。-pコマンド行パラメータでは、次の値がサポートされています:

• SSL: ネットワーク通信がTLS/SSL対応であることを意味します。
• SSL_ONE_WAY: 一方向認証を使用する(つまりクライアント認証が有効でない)点を除き、SSLと同じです。これはデフォルト値です。
• TCP: ネットワーク通信で暗号化が有効になっていません。

  TLS/SSLが有効な場合、TMA TCP GatewayにパラメータSEC_PRINCIPAL_NAME、 SEC_PRINCIPAL_LOCATIONおよびSEC_PRINCIPAL_PASSVARを指定する必要があります。これは、UBBCONFIGの*RESOURCES、*MACHINES、*GROUPSまたは*SERVERSセクションで指定できます。

  これらの3つのパラメータの詳細は、Oracle Tuxedoリファレンス・ガイドを参照してください。キーおよび証明書を格納するOracle Walletの作成方法については、「Oracle Walletの作成」を参照してください。

  TLS/SSLが有効な場合、TLS v1.2が使用され、非対称キーの最小長は2048です。次に、サポートされている暗号スイートのリストを示します:

  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

楕円曲線暗号(ECC)ベースの暗号スイート(TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384やTLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256など)の場合、対応するTLS証明書もECCベースである必要があり、環境変数TM_MIN_PUB_KEY_LENGTHを0に設定する必要があります。

TLSホスト名検証を有効にするには、環境変数TUX_SSL_HOSTNAME_VALIDATEをYに設定します。