SSL 暗号スイート仕様ファイルの作成

SSL によって使用される暗号スイートのリストを指定するために、SSL 暗号スイート仕様ファイルを作成できます。 SSL が TCP/IP 接続に使用される場合、TCP/IP 接続を定義するリソースの CIPHERS 属性で暗号スイート仕様ファイルの名前を指定できます。

手順

SSL 暗号スイート仕様ファイルを作成するには、サンプル仕様ファイルを編集するか、独自の仕様ファイルを作成します。
- サンプル SSL 暗号スイート仕様ファイルを変更するには、usshome/security/ciphers ディレクトリーにあるサンプル・ファイルの 1 つを ussconfig/security/ciphers ディレクトリーにコピーします。ここで、それぞれの値は以下のとおりです。
  
  USSHOME
  
  SIT パラメーター USSHOME の値です。
  
  USSCONFIG
  
  SIT パラメーター USSCONFIG の値です。
  
  注: SSL 暗号スイート仕様ファイルは、 ussconfig/security/ciphers ディレクトリーになければなりません。
- 独自の SSL 暗号スイート仕様ファイルを作成するには、ussconfig/security/ciphers ディレクトリーに XML ファイルを作成し、次の規則に従って、ファイルに名前を付けます。
  - ファイル名の長さは、.xml 拡張子を含めて、最大 28 文字です。
  - ファイル名は、UNIX ファイルの有効な名前でなければならず、文字 A-Z a-z 0-9 # - . @ _のみを含んでいる必要があります。大/小文字の区別があります。
「暗号スイートおよび暗号スイート仕様ファイル (Cipher suites and cipher suite specification files)」に示されているように、仕様ファイルに暗号スイートのリストを指定します。
サンプル・ファイルを編集する場合、セキュリティー要件を満たさない不要な暗号スイート、またはハードウェアによってサポートされない不要な暗号スイートを削除できます。また、暗号スイートを追加することもできますが、追加できるのは、 z/OS®によってサポートされている暗号スイートのみです。
SSL 接続でファイルを有効にするには、 CICS® 領域に z/OS UNIX にアクセスする権限があること、およびその領域に仕様ファイルが含まれているディレクトリーに対する読み取り権限と実行権限があること、およびそのファイル自体に対する読み取り権限があることを確認してください。

結果

暗号スイート仕様ファイルが作成されました。 SSL 暗号スイート・ファイルは複数のリソースが使用できます。仕様ファイルを使用するリソースが初めてインストールされるときに、ファイルが zFS から読み取られ、解析されます。この解析中に、エラーがあればフラグが立てられます。ファイルが有効である場合、リソースがインストールされ、そのファイルに関連付けられている新しい制御ブロックに暗号情報が保管されます。同じ暗号ファイルを使用する後続のリソースがインストールされると、制御ブロックにキャッシュされた情報が使用されます。

次のタスク

暗号スイート仕様ファイル内の暗号スイートのリストを更新する場合は、ファイルを直接編集できますが、更新されたリストを有効にするには、 CICS を再始動する必要があります。 START システム初期設定パラメーターが INITIAL、COLD、AUTO のいずれに設定されている場合でも、開始のタイプに合わせてファイルの再読み取りが行われます。

CICSを再始動せずにリソースの暗号スイートのリストを更新するには、新しい仕様ファイルを使用する必要があります。

新しい暗号スイート仕様ファイルを作成します。ファイル名がこの CICS システムによってロードされていないことを確認してください。
既存のリソース定義を、新規ファイルを参照するように更新します。例えば、 CIPHERS(newciphers.xml) を指定して CREATE TCPIPSERVICE コマンドを発行します。
リソース定義を再インストールします。