ZERTJSSE

zERT-enabled Java™ Secure Socket Extension (ZERTJSSE) est un fournisseur de sécurité d' IBM® s qui permet des communications Internet sécurisées et recueille des informations de sécurité sur ces communications pour les transmettre à z/OS® Encryption Readiness Technology ( zERT ).

Présentation

ZERTJSSE encapsule le fournisseur SunJSSE et informe zERT dès qu'un changement survient dans l'état d'une session sécurisée gérée par SunJSSE. ZERTJSSE ne met en œuvre aucune fonctionnalité de JSSE. Il utilise plutôt le fournisseur « SunJSSE » pour exécuter les opérations JSSE. ZERTJSSE se contente de surveiller les sessions sécurisées gérées par SunJSSE;; le flux de données entre l'utilisateur et le fournisseur d' SunJSSE s reste inchangé.

Remarque : pour plus d'informations sur la gestion des dépendances du fournisseur ZERTJSSE à l'aide de Maven, consultez la page « Gestion des dépendances du fournisseur de sécurité IBM Semeru à l'aide de Maven ».

Pour plus d'informations sur l'implémentation JSSE sous-jacente, consultez la documentation du fournisseur SunJSSE.

Dépendances

ZERTJSSE possède les dépendances de pile suivantes:

ZERTJSSE dépend du fournisseur SunJSSE sous-jacent pour fournir toutes les fonctionnalités JSSE fournies par ZERTJSSE. Pour plus d'informations sur l'implémentation JSSE sous-jacente, voir la section Documentation .
ZERTJSSE dépend de l'API Java zERT pour notifier le composant zERT Discovery, Recording. Pour plus d'informations, voir la section Configuration .

Limites

Manque de soutien pour les SSLEngines: Les moteurs SSL étant indépendants du transport, ZERTJSSE n'a aucun moyen d'associer les informations d' zERT à une connexion TCP. Par conséquent, les moteurs SSL fournis par ZERTJSSE ne prennent pas en charge l' zERT.

Notification de renégociation Questions de calendrier: Etant donné que les événements de renégociation sont signalés à zERT dans des unités d'exécution distinctes, des problèmes de temporisation peuvent se produire lorsque des renégociations ultérieures déclenchent des unités d'exécution différentes qui notifient zERT dans le désordre.

Communication claire dans le cadre de SSLSockets à plusieurs niveaux: Une SSLSocket en couche est créée lorsqu'une application enveloppe une Socket existante avec une SSLSocket pour créer une connexion sécurisée. Lorsqu'un SSLSocket en couches est créé, le socket sous-jacent est toujours disponible pour l'application. Si l'application continue à transmettre des données via le socket sous-jacent, zERT peut signaler que la connexion est sécurisée alors que des données non chiffrées sont toujours transférées via la connexion TCP.

Attributs non disponibles: L'attribut SECATTRi_TLS_Handshake_Type demandé par zERT ne peut pas être reconnu par ZERTJSSE. Par conséquent, ZERTJSSE signale l'attribut SECATTRi_TLS_Handshake_Type.

Propriétés système: Les propriétés système utilisées dans SunJSSE sont définies lors du chargement du fournisseur ZERTJSSE. Toute modification de ces propriétés système entre ZERTJSSE et SunJSSE peut entraîner un comportement inattendu.

Configuration

Pour que zERT soit activé pour la fonctionnalité JSSE, ZERTJSSE doit être spécifié en tant que fournisseur JSSE à utiliser.

Pour définir ZERTJSSE comme fournisseur de sécurité par défaut, consultez la section « Installation des fournisseurs de sécurité ».

Arguments d' JVM s d'exécution ZERTJSSE

ZERTJSSE nécessite des arguments d' JVM s d'exécution spécifiques pour avoir accès aux fichiers d' java.base s nécessaires. Les commandes suivantes sont requises lors de l'exécution:

--add-exports java.base/sun.security.ssl=ibm.zertjsse

--add-opens java.base/sun.security.ssl=ibm.zertjsse

Configurations de l'API Java zERT

ZERTJSSE requiert l'utilisation de l'API Java zERT publiée dans l'APAR PH47010. Cet APAR doit être installé sur le système et l'application doit répondre aux exigences suivantes:

Le fichier EZBCPPMJ.jar doit être inclus dans le chemin d'accès aux classes. EZBCPPMJ.jar est installé dans le répertoire /usr/include/java_classes.
libEZBCPP64.so doit être situé dans $LIBPATH afin que les méthodes JNI puissent être trouvées. libEZBCPP64.so est installé dans le répertoire /usr/lib.

Configurations SunJSSE: Pour configurer la fonctionnalité JSSE, suivez les options de configuration de SunJSSE. Pour plus d'informations sur la configuration, SunJSSE, consultez la section Documentation.

Documentation

Pour la documentation de l'API ZERTJSSE, voir: ZERTJSSE Provider Class Documentation.

Pour consulter la documentation relative aux fonctionnalités JSSE sous-jacentes, rendez-vous sur : SunJSSE Documentation du fournisseur.

Pour plus d'informations sur l'API standard JSSE, consultez : API standard JSSE

Pour plus d'informations sur la technologie « zERT, », consultez : z/OS Encryption Readiness Technology ( zERT ).

Pour plus d'informations sur les fournisseurs de sécurité Java, consultez : Guide de sécurité.