SSL-Cipher-Suite-Spezifikationsdatei erstellen

Sie können eine SSL-Cipher-Suite-Spezifikationsdatei erstellen, um eine Liste von Cipher-Suites anzugeben, die von SSL verwendet werden sollen. Wenn SSL für TCP/IP-Verbindungen verwendet wird, können Sie den Namen der Cipher-Suite-Spezifikationsdatei im Attribut CIPHERS für Ressourcen angeben, die TCP/IP-Verbindungen definieren.

Vorgehensweise

  1. Erstellen Sie eine SSL-Cipher-Suite-Spezifikationsdatei, indem Sie entweder eine Beispielspezifikationsdatei bearbeiten oder eine eigene erstellen:
    • Um eine SSL-Cipher-Suite-Beispielspezifikationsdatei zu ändern, kopieren Sie eine der Beispieldateien, die sich im Verzeichnis usshome/security/ciphers befindet, in das Verzeichnis ussconfig/security/ciphers . Dabei gilt Folgendes:
      USSHOME
      Der Wert des SIT-Parameters USSHOME.
      USSCONFIG
      Der Wert des SIT-Parameters USSCONFIG.
      Hinweis: Die SSL-Cipher-Suite-Spezifikationsdatei muss sich im Verzeichnis ussconfig/security/ciphers befinden.
    • Um eine eigene SSL-Cipher-Suite-Spezifikationsdatei zu erstellen, erstellen Sie eine XML-Datei im Verzeichnis ussconfig/security/ciphers und benennen Sie die Datei entsprechend den folgenden Regeln:
      • Der Dateiname ist bis zu 28 Zeichen lang, einschließlich der Erweiterung .xml .
      • Der Dateiname muss ein gültiger Name für eine UNIX-Datei sein und darf nur die Zeichen A-Z a-z 0-9 # - . @ _enthalten. Die Groß-/Kleinschreibung muss beachtet werden.
  2. Geben Sie Ihre Liste der Cipher-Suites in der Spezifikationsdatei an (siehe Cipher-Suites und Cipher-Suite-Spezifikationsdateien).
    Wenn Sie die Beispieldatei bearbeiten, können Sie unerwünschte Cipher Suites entfernen, die Ihre Sicherheitsanforderungen nicht erfüllen oder von Ihrer Hardware nicht unterstützt werden. Sie können auch Cipher-Suites hinzufügen, aber nur die Cipher-Suites, die von z/OS®unterstützt werden.
  3. Damit die Datei in einer SSL-Verbindung wirksam ist, stellen Sie sicher, dass die CICS® -Region über die Berechtigung für den Zugriff auf z/OS UNIX verfügt und dass die Region über Lese-und Ausführungszugriff auf das Verzeichnis verfügt, das die Spezifikationsdatei enthält, sowie über Lesezugriff auf die Datei selbst.

Ergebnisse

Sie haben eine Cipher-Suite-Spezifikationsdatei erstellt. Eine SSL-Cipher-Suite-Datei kann von mehreren Ressourcen verwendet werden. Wenn eine Ressource, die eine Spezifikationsdatei verwendet, zum ersten Mal installiert wird, wird die Datei aus zFS gelesen und syntaktisch analysiert. Alle Fehler werden während dieser Syntaxanalyse markiert. Wenn die Datei gültig ist, wird die Ressource installiert und die Verschlüsselungsinformationen werden in einem neuen Steuerblock gespeichert, der der Datei zugeordnet ist. Wenn nachfolgende Ressourcen, die dieselbe Verschlüsselungsdatei verwenden, installiert werden, werden zwischengespeicherte Informationen im Steuerblock verwendet.

Nächste Schritte

Wenn Sie die Liste der Cipher-Suites in einer Cipher-Suite-Spezifikationsdatei aktualisieren wollen, können Sie die Datei direkt bearbeiten, Sie müssen jedoch CICS erneut starten, damit die aktualisierte Liste wirksam wird. Die Datei wird für jeden Starttyp erneut gelesen, unabhängig davon, ob der Systeminitialisierungsparameter START auf INITIAL, COLDoder AUTOgesetzt ist.

Um die Liste der Cipher-Suites für eine Ressource ohne Neustart von CICSzu aktualisieren, müssen Sie eine neue Spezifikationsdatei verwenden:
  1. Erstellen Sie eine neue Cipher-Suite-Spezifikationsdatei. Stellen Sie sicher, dass der Dateiname nicht von diesem CICS -System geladen wurde.
  2. Aktualisieren Sie die vorhandene Ressourcendefinition so, dass sie auf die neue Datei verweist. Geben Sie beispielsweise den Befehl CREATE TCPIPSERVICE mit der Angabe CIPHERS(newciphers.xml) aus.
  3. Installieren Sie die Ressourcendefinition neu.