FIPS 140 モードを使用する必要がある各システムおよびスタック上で FIPS 140 モードをサポートするように、IP セキュリティーを構成します。
シスプレックス・ワイド・セキュリティー・アソシエーション (SWSA) を使用している場合、最初にディストリビューター・スタックおよびバックアップ・スタックでこれらのステップを実行してから、各ターゲット・スタックごとに実行します。
手順
FIPS 140 モードをサポートするように IP セキュリティーを構成するには、以下のステップを実行します。
- Integrated Cryptographic Services Facility (ICSF) が開始されており、FIPS 140 をサポートするように構成されていることを確認します。
ヒント: IP セキュリティーで ICSF を使用するために TKDS データ・セットを作成する必要はありません。
ICSF に対して FIPS 140 モードを使用可能にする詳細については、「z/OS Cryptographic Services ICSF Administrator's Guide」を参照してください。
- 以下のいずれかの条件が真であることを確認してください。
- System SSL FIPS 140 サポートが使用可能で、構成済みであることを確認してください。詳しくは、「z/OS Cryptographic Services System System Secure Sockets Layer プログラミング」の System SSL および FIPS
140-2 に関する情報を参照してください。
- ネットワーク・セキュリティー・サービス (NSS) を使用している場合は、FIPS 140 をサポートするように NSS を構成してください。 NSS 構成ファイル (例えば、nssd.conf) で、FIPS140 値として Yes を指定して FIPS
140 を構成できます。Configuration
Assistant で、NSS 観点の NSS 用 Advanced Server Settings で FIPS 140 オプションを構成します。
FIPS 140 を構成した後、NSS デーモンがアクティブになっていた場合はこれを再始動します。
ヒント: FIPS 140 に対して TCP/IP が使用可能になっているが、NSSD に対しては TCP/IP が使用可能になっていない場合、NSSD は TCP/IP スタックに対して NSS 証明書サービスを提供できません。
- FIPS 140 をサポートするように IKE を構成します。 IKED 構成ファイル (例えば、iked.conf) で、FIPS140 値として Yes を指定して FIPS
140 を構成できます。Configuration
Assistant で、IPSec 観点の Advanced IKE Daemon Settings で FIPS 140 オプションを構成します。
FIPS 140 を構成した後、IKE デーモンがアクティブになっていた場合はこれを再始動します。
ヒント: FIPS 140 に対して TCP/IP が使用可能になっていない場合、IKED はその TCP/IP スタック用の動的 VPN トンネルとはネゴシエーションしません。
- FIPS 140 をサポートするため TCP/IP スタックを構成します。 そのスタックの IPSec ポリシー・ファイルの IpFilterPolicy ステートメントで FIPS140
Yes を指定して FIPS 140 を構成できます。Configuration
Assistant で、IPSec 観点の Advanced Stack Settings で FIPS 140 オプションを構成します。
FIPS 140 を構成した後、スタックがアクティブになっていた場合はこれを再始動します。