3.3.2 TLSサポートを追加するための着信サービスのセキュリティ設定

TMA TCP for CICS着信フローでは、Sockets for CICSリスナーが使用されます。TLSサポートを有効にするには、次のステップに従います。

1. クライアント側で相互TLSを構成および有効化します(SSL)。
2. EZACトランザクションを介してIBMリスナー構成でGETTID (Get AT-TLS ID)パラメータをYESに設定して有効にし、AT-TLSからクライアント証明書およびユーザーIDを取得します。

   ステータスがENABLEDの場合、リスナーはTCP/IPスタックで有効なAT-TLSを介してクライアント証明書およびユーザーIDを取得できます。

3. 双方向認証については、クライアント証明書とサーバー証明書の両方を確認してください:
   1. CICSキーリングにクライアント証明書とサーバー証明書が必要です。
   2. Tuxedoウォレットにクライアント証明書とサーバー証明書が必要です。
4. IBMリスナーの構成済ポートについて、ポリシー・エージェントでAT-TLS着信ルール(CICS_SERVER)を定義してロードし、リストに従います。

   TTLSEnvironmentActionでは、HandshakeRoleをServerWithClientAuthとして指定し、ApplicationControlledをオフにする必要があります。

   リスト TTLSEnvironmentAction、HandshakeRole、ApplicationControlledのサンプル参照

   TTLS Condition Summary:                 NegativeIndicator: Off
      Local Address:
       FromAddr:           All
       ToAddr:             All
      Remote Address:
       FromAddr:           All
       ToAddr:             All
      LocalPortFrom:       3010              LocalPortTo:       3010
      RemotePortFrom:      0                 RemotePortTo:      0
      JobName:                               UserId:
      ServiceDirection:    Inbound
   
   HandshakeRole:              ServerWithClientAuth
       SuiteBProfile:              Off
       TTLSKeyringParms:
        Keyring:                   SYSCICS/CICSRING
       TTLSEnvironmentAdvancedParms:
        SSLv2:                     Off
        SSLv3:                     Off
        TLSv1:                     Off
        TLSv1.1:                   Off
        TLSv1.2:                   On
        TLSv1.3:                   Off
        MiddleBoxCompatMode:       Off
        ApplicationControlled:     Off

図3-3 着信AT-TLSルールのサンプル - IBM社の『IP CICS Sockets Guide』より