3.3.1 ポリシー・エージェント、AT-TLSおよび証明書の設定

データの安全な転送のために、Oracle TMA TCP for CICSは、キーリングでの証明書設定とともにIBMのポリシー・エージェントおよびAT-TLSルールを使用します。

z/OS Communications Serverでは、ポリシー・エージェント(PAGENT)は、ユーザーとアプリケーションがネットワーク・リソースにアクセスする方法を制御する一連のルールおよびポリシーを実装および適用します。

Application Transparent Transport Layer Security (AT-TLS)は、SSL/TLS対応アプリケーションと既存のメインフレーム・アプリケーションの間のセキュアな接続を提供するIBMのソリューションです。メインフレームでSecure Socket Layer (SSL)セキュリティを有効にします。暗号化および復号化ポリシーを構成するポリシー・エージェント(PAGENT)です。PAGENTポリシーは、メインフレームTCP/IPスタック上のどのトラフィックをSSLでセキュリティ保護するかを決定します。

AT-TLSは、アプリケーションの代わりにセキュアなセッションを提供するため、アプリケーション・コードの変更は必要ありません。Oracle TMA TCP for CICSでは、この機能を使用してセキュアな通信を実現します。

IP CICS Socket API for TCP/IPクライアント/サーバー・システムでAT-TLSルールを使用するアプリケーションの詳細は、IBM社の『z/OS Communications Server - IP CICS Sockets Guide』を参照してください。

PAGENTおよびAT-TLSルールを使用してネットワーク・ポリシーを定義するネットワーク管理者は、次のIBMドキュメントを参照する必要があります。

• z/OS Communications Server - IP Configuration Guide
• z/OS Communications Server - IP Configuration Reference

キーリングと証明書の設定

メインフレームで証明書を構成するには、RACFなどのESM (Enterprise Security Manager)ツールを使用します。CICS SSLアプリケーションの場合、キーリングのユーザーIDはCICSユーザーID (SYSCICS)である必要があります。キーリングが生成され、それぞれのCICSリージョンに関連付けられます。

キーリングの設定および自己署名付きCA証明書の作成については、IBM社の『z/OS Security Server RACF Command Language Reference』を参照してください。

Oracleウォレットを使用すると、3つの部分を含むOracle TMA TCP Gateway証明書を設定できます。

• 自己署名CA証明書
• CA証明書が署名したユーザー証明書については、前述のとおりです。
• 秘密キー

サーバー認証

サーバーを認証する場合、クライアントはサーバーの証明書の有効性を検証します。証明書は信頼できる認証局(CA)によって署名されている必要があります。

クライアント認証

クライアント認証が使用される場合、サーバーはクライアントの証明書が有効であり、サーバーによって信頼される認証局によって署名されていることを確認します。