3.3.2 TLSサポートを追加するための着信サービスのセキュリティ設定
TMA TCP for CICS着信フローでは、Sockets for CICSリスナーが使用されます。TLSサポートを有効にするには、次のステップに従います。

- クライアント側で相互TLSを構成および有効化します(
SSL
)。 - EZACトランザクションを介してIBMリスナー構成で
GETTID
(Get AT-TLS ID)パラメータをYES
に設定して有効にし、AT-TLSからクライアント証明書およびユーザーIDを取得します。ステータスが
ENABLED
の場合、リスナーはTCP/IPスタックで有効なAT-TLSを介してクライアント証明書およびユーザーIDを取得できます。 - 双方向認証については、クライアント証明書とサーバー証明書の両方を確認してください:
- CICSキーリングにクライアント証明書とサーバー証明書が必要です。
- Tuxedoウォレットにクライアント証明書とサーバー証明書が必要です。
- IBMリスナーの構成済ポートについて、ポリシー・エージェントで
AT-TLS
着信ルール(CICS_SERVER
)を定義してロードし、リストに従います。TTLSEnvironmentActionでは、HandshakeRoleをServerWithClientAuthとして指定し、ApplicationControlledをオフにする必要があります。
リスト TTLSEnvironmentAction、HandshakeRole、ApplicationControlledのサンプル参照TTLS Condition Summary: NegativeIndicator: Off Local Address: FromAddr: All ToAddr: All Remote Address: FromAddr: All ToAddr: All LocalPortFrom: 3010 LocalPortTo: 3010 RemotePortFrom: 0 RemotePortTo: 0 JobName: UserId: ServiceDirection: Inbound HandshakeRole: ServerWithClientAuth SuiteBProfile: Off TTLSKeyringParms: Keyring: SYSCICS/CICSRING TTLSEnvironmentAdvancedParms: SSLv2: Off SSLv3: Off TLSv1: Off TLSv1.1: Off TLSv1.2: On TLSv1.3: Off MiddleBoxCompatMode: Off ApplicationControlled: Off
図3-3 着信AT-TLSルールのサンプル - IBM社の『IP CICS Sockets Guide』より

親トピック: セキュリティの強化: SSL/TLSサポート