TLS/SSL のための DCAS のカスタマイズ

IBM® システム SSL を使用するため、または AT-TLS ポリシーを使用して TLS セキュリティーを実装するために DCAS をカスタマイズすることができます。

始める前に

以下のセットアップまたは構成がなされていることを確認してください。

DCAS が始動するためには、有効な DCAS 構成ファイルがなければなりません。以下のリストは、DCAS 構成ファイルの検索順序を示しています。
1. DCAS_CONFIG_FILE 環境変数
2. /etc/dcas.conf
3. tsouserid.DCAS.CONF
4. TCPIP.DCAS.CONF
DCAS が TLS/SSL をサポートできるようにする必要があります。DCAS は IBM システム SSL を呼び出すことも、AT-TLS ポリシーを使用することもできます。 SSL 鍵リングおよび証明書を DCAS 用に構成する方法について詳しくは、TLS/SSL セキュリティーを参照してください。
DCAS で IBM システム SSL を使用できるようにするには、以下の操作を実行します。
- DCAS 用の構成をセットアップします。詳しくは、「z/OS Communications Server: IP 構成解説書」の『DCAS を使用した Express® LOGON』を参照してください。
- DCAS 構成ファイルで TLSMECHANISM キーワード値を DCAS に設定します。
DCAS のデフォルト設定では、IBM システム SSL を使用します。
AT-TLS ポリシーを使用するためには、DCAS 構成ファイルで TLSMECHANISM キーワードを ATTLS に設定します。 DCAS 用に AT-TLS をセットアップする手順について詳しくは、TLS/SSL のための DCAS のカスタマイズの手順およびApplication Transparent Transport Layer Security のデータ保護を参照してください。

ガイドライン: AT-TLS を使用するとシステム SSL の最新機能 (最新の TLS バージョンや暗号スイートなど) を利用できるため、AT-TLS を使用して TLS セキュリティーを実装することをお勧めします。 DCAS でシステム SSL を直接使用する場合は、TLS バージョン 1.0 と SSL バージョン 3 および 2 に限定されます。AT-TLS で利用できる他の多くのシステム SSL 機能は利用できません。

要件: AT-TLS を使用するには、ポリシー・エージェントを構成し、AT-TLS 用に TCP/IP スタックを使用可能にする必要があります。 AT-TLS を構成するには、Application Transparent Transport Layer Security のデータ保護を参照してください。

手順

IBM システム SSL を使用するため、または AT-TLS ポリシーを使用して TLS セキュリティーを実装するために DCAS をカスタマイズするには、以下のステップを実行します。

DCAS 構成ファイルに以下のステートメントをコーディングして、サーバーが AT-TLS を使用できるようにします。
```
TLSMECHANISM ATTLS
```
TLS セッションで使用する認証のレベルを決定します。
- サーバー認証のみ
- クライアント認証レベル 1
- クライアント認証レベル 2
- クライアント認証レベル 3
サーバー認証とクライアント認証についての詳細は、Secure Socket Layer の概要を参照してください。
サーバー鍵リング・データベースを作成し、必要になる証明書をそのサーバー鍵リング・データベースに追加します。サーバー認証について詳しくは、サーバー認証を参照してください。
- サーバー認証では、それぞれの TLS セッション・ハンドシェークにサーバー認証が含まれるため、このサーバーの証明書をサーバーの鍵リング・データベースに追加する必要があります。サーバー証明書が自己署名されている場合は、TLS を使用してログインするクライアントの鍵リング・データベースにも、この証明書をエクスポートする必要があります。サーバー証明書が認証局 (CA) により署名されている場合は、(サーバー証明書の代わりに) この CA 証明書がクライアントの鍵リング・データベースに入っていなければなりません。サーバー認証について詳しくは、サーバー認証を参照してください。
- クライアント認証では、クライアント認証と自己署名証明書を使用する場合、クライアント証明書をサーバーの鍵リング・データベースにインポートする必要があります。クライアント証明書が認証局 (CA) により署名されている場合は、(クライアント証明書の代わりに) この CA 証明書がサーバーの鍵リング・データベースに入っていなければなりません。詳しくは、クライアント認証を参照してください。

DCAS 用に AT-TLS ポリシーを構成する必要があります。AT-TLS の構成について詳しくは、サーバー・システムの構成を参照してください。 IBM システム SSL を使用する環境から AT-TLS を使用する環境に DCAS サーバーをマイグレーションするには、AT-TLS ポリシーを使用するための DCAS サーバーのマイグレーションを参照してください。

DCAS TLSMECHANISM を ATTLS に設定する場合は、ポリシー構成に関する以下の要件に留意してください。

AT-TLS ポリシーを以下のように構成する必要があります。
- ポリシー構成ファイルで、ApplicationControlled パラメーターを ON にして TTLSEnvironmentAdvancedParms ステートメントをコーディングします。 ApplicatonControlled パラメーターは、DCAS が接続時に TLS セキュリティーを開始できるようにします。
- ポリシー構成ファイルで、TTLSEnvironmentAction ステートメントの HandshakeRole パラメーターを ServerWithClientAuth に設定します。
- 同じレベルのクライアント認証を、DCAS 構成ファイルの CLIENTAUTH パラメーターおよび AT-TLS ポリシーの ClientAuthType パラメーターにコーディングします。
- LocalPortRange パラメーターおよび LocalAddr パラメーターがある TTLSRule ステートメントに、PORT および IPADDR の DCAS 構成値を含める必要があります。
ポリシー構成ファイルで、暗号を使用するように TTLSCipherParms ステートメントを構成します。
詳しくは、「z/OS Communications Server: IP 構成解説書」の『デジタル証明書アクセス・サーバー (DCAS) の構成ファイル・キーワードおよびパラメーター』を参照してください。

表 1. DCAS TLSMECHANISM を ATTLS に設定する場合に必要な AT-TLS ポリシー
DCAS 構成値	AT-TLS ポリシー値 (ポリシー構成ファイル)
	Direction Inbound
	TTLSEnabled On
	ApplicationControlled ON
	HandshakeRole ServerWithClientAuth
CLIENTAUTH LOCAL2 (デフォルト)	ClientAuthType SAFCHECK
CLIENTAUTH LOCAL1	ClientAuthType Required (デフォルト)
PORT <portValue>	LocalPortRange <portValue を含む>
IPADDR <inaddrValue>	LocalAddr <inaddrValue を含む>

以下のポリシー・エージェント AT-TLS の構成例は、AT-TLS に必要なポリシー構成ステートメントを示しています。

TTLSGroupAction secure_DCAS_group
{
      TTLSEnabled On
}

TTLSEnvironmentAction secure_DCAS_env
{
      TTLSKeyringParms
      {
            Keyring server-keyring-database  # Use Keyring or SAFKeyring
      }

      HandshakeRole ServerWithClientAuth

      TTLSEnvironmentAdvancedParms
      {
            ApplicationControlled On
            ClientAuthType SAFCHECK            # Used with CLIENTAUTH Local2
      }

      TTLSCipherParmsRef DCAS_ciphers   # Used to customize ciphersuites for DCAS 
}

TTLSCipherParms DCAS_ciphers
{
      # Sample ciphers. Should be customized!
      V3CipherSuites TLS_RSA_WITH_AES_256_CBC_SHA
      V3CipherSuites TLS_RSA_WITH_3DES_EDE_CBC_SHA
      V3CipherSuites TLS_RSA_WITH_NULL_SHA
}

TTLSRule secure_DCAS_rule
{
      LocalPortRange 8990     # This should be set to the port DCAS is
                              # listening on (PORT keyword in DCAS configuration file)
      Direction Inbound
      TTLSGroupActionRef secure_DCAS_group
      TTLSEnvironmentActionRef secure_DCAS_env
}

ヒント:

AT-TLS では、その他のセキュリティー設定 (LDAP サーバーやハンドシェーク・タイムアウト値など) も有効にすることができます。この例で使用している構成は、DCAS サーバーで AT-TLS を使用するための最小要件を示しています。
DCAS 用のデフォルト AT-TLS ポリシーは、IBM Configuration Assistant for z/OS® Communications Server で定義されます。

データ転送と制御情報を保護するためにサーバーで使用する暗号スイートを決定します。 DCAS および AT-TLS は、z/OS の基本エレメントであるシステム SSL 暗号サービスを介して TLS をサポートします。システム SSL は、暗号化、データ認証、およびデータ保全性を実現する複数の暗号スイートをサポートしています。
- 暗号化アルゴリズムは、データの順序を変えることで、データが内密に転送され、特殊な鍵なしには解釈できないようにします。
- データ認証アルゴリズムは、データが所定の送信者から発信されたものであることを保証します。
- データ保全性アルゴリズムは、データが転送中に変更されていないことを確実にします。
提供されている暗号スイートの中には、データ認証またはデータ保全性だけを実現するものがある一方、暗号化も実現できるものがあります。セッションで使用する暗号スイートは、サーバーとクライアントの間のネゴシエーションで決まります。例えば、3 つの異なる暗号スイートからなるリストを使用するように DCAS を構成した場合、クライアントは、クライアントの構成に基づいて、その 3 つの中からサポート可能なものを選択します。リスト内で最初に一致したスイートが選択されます。クライアントがこれら 3 つのスイートのいずれもサポートしていない場合、ネゴシエーションは失敗し、セキュア接続は確立されません。
サーバーで使用できる暗号スイートを指定するためには、TTLSCipherParms 構成ステートメントをコーディングして、使用する暗号アルゴリズムを選択します。 TTLSCipherParms ステートメントでサポートされる暗号スイートについては、「z/OS Communications Server: IP 構成解説書」を参照してください。暗号スイートは、最も優先度の高い暗号スイートを先頭にして、優先順位に従ってリストしてください。暗号スイートは、TTLSCipherParms ステートメントが示す順序と同じ優先順位に従って、クライアントに代わってサーバーとネゴシエーションされます。

ガイドライン: システム SSL で使用されるデフォルト暗号スイートには、暗号化も、認証も、保全性もない NULL 暗号が含まれます。受け入れ可能な暗号から NULL 暗号を削除するには、TTLSCipherParms ステートメントをコーディングする必要があります。
TLS 用にセキュリティー製品を構成します。詳しくは、TLS/SSL セキュリティーを参照してください。