3.3.2 TLSサポートを追加するための着信サービスのセキュリティ設定

TMA TCP for CICS着信フローでは、Sockets for CICSリスナーが使用されます。TLSサポートを有効にするには、次のステップに従います。
  1. クライアント側で相互TLSを構成および有効化します(SSL)。
  2. EZACトランザクションを介してIBMリスナー構成でGETTID (Get AT-TLS ID)パラメータをYESに設定して有効にし、AT-TLSからクライアント証明書およびユーザーIDを取得します。

    ステータスがENABLEDの場合、リスナーはTCP/IPスタックで有効なAT-TLSを介してクライアント証明書およびユーザーIDを取得できます。

  3. 双方向認証については、クライアント証明書とサーバー証明書の両方を確認してください:
    1. CICSキーリングにクライアント証明書とサーバー証明書が必要です。
    2. Tuxedoウォレットにクライアント証明書とサーバー証明書が必要です。
  4. IBMリスナーの構成済ポートについて、ポリシー・エージェントでAT-TLS着信ルール(CICS_SERVER)を定義してロードし、リストに従います。

    TTLSEnvironmentActionでは、HandshakeRoleをServerWithClientAuthとして指定し、ApplicationControlledをオフにする必要があります。

    リスト TTLSEnvironmentAction、HandshakeRole、ApplicationControlledのサンプル参照
    TTLS Condition Summary:                 NegativeIndicator: Off
       Local Address:
        FromAddr:           All
        ToAddr:             All
       Remote Address:
        FromAddr:           All
        ToAddr:             All
       LocalPortFrom:       3010              LocalPortTo:       3010
       RemotePortFrom:      0                 RemotePortTo:      0
       JobName:                               UserId:
       ServiceDirection:    Inbound
    
    HandshakeRole:              ServerWithClientAuth
        SuiteBProfile:              Off
        TTLSKeyringParms:
         Keyring:                   SYSCICS/CICSRING
        TTLSEnvironmentAdvancedParms:
         SSLv2:                     Off
         SSLv3:                     Off
         TLSv1:                     Off
         TLSv1.1:                   Off
         TLSv1.2:                   On
         TLSv1.3:                   Off
         MiddleBoxCompatMode:       Off
         ApplicationControlled:     Off

図3-3 着信AT-TLSルールのサンプル - IBM社の『IP CICS Sockets Guide』より


着信AT-TLSルールのサンプル - IBM社の『IP CICS Sockets Guide』の図