CEMT PERFORM SSL
刷新 CICS® 区域的 SSL 环境和证书高速缓存。
在 CICS Explorer®中, "区域" 视图 提供了与此命令等效的功能。
注: PERFORM SSL REBUILD 命令不适用于 CICS 正在使用通过 SSL (ATTLSAWARE) 定义的 TCPIPSERVICE (强制 AT-TLS 安全客户机连接) 的 SSL/TLS 环境。 如果要刷新此类 SSL 环境和高速缓存,请遵循 TLS 实现选项 中的指示信息。
描述
CEMT PERFORM SSL REBUILD 命令是用于为 CICS 区域重建 SSL 环境的请求。 z/OS® 系统 SSL 管理 SSL 环境。 SSL 环境包含一个高速缓存,该高速缓存包含 CICS 区域的指定密钥环中的证书副本。
发出 PERFORM SSL REBUILD 命令时, CICS 区域中正在进行的任何 SSL 握手都会根据旧的证书信息继续进行,并且会保留现有的 SSL 会话。
当 SSL 环境的重建成功时,会产生以下影响:
- 证书缓存从 CICS 区域的密钥环中重建,密钥环保存在 RACF® 数据库中。 新高速缓存包含在上次构建 SSL 环境之后放入密钥环中的新证书或更新的证书的副本。 完成重建后,将使用刷新的证书信息在 CICS 区域中开始的新 SSL 握手或会话。
- 如果 SSL 环境管理 CICS 区域的本地 SSL 高速缓存 (由 CICS中的 SSLCACHE=CICS 系统初始化参数指定) ,那么将创建新的高速缓存。 SSL 高速缓存保存 SSL 会话的会话标识。 新高速缓存由在 CICS 区域中建立的新 SSL 会话填充。 删除使用旧高速缓存的最后一个连接时,将除去旧高速缓存。 如果多个 CICS 区域 (SSLCACHE=SYSPLEX) 的 SSL 高速缓存处于综合系统级别,那么不会影响该高速缓存。
- 如果 CICS 区域使用 LDAP 服务器来存储证书撤销列表 (CRL) ,那么将刷新 SSL 环境中针对 LDAP 服务器保留的绑定信息。 LDAP 服务器的详细信息取自 RACF拥有的 LDAPBIND 定义,该定义由 CICS中的 CRLPROFILE 系统初始化参数引用。 如果此概要文件的初始设置无效,并且 CICS 区域因此已禁用对 LDAP 服务器的访问权 (如消息 DFHSO0128 或 DFHSO0129所报告) ,那么重建 SSL 环境将无法复原对 LDAP 服务器的访问权。 仅对在执行重建时可供 CICS 区域使用的 LDAP 服务器进行刷新。注: 重建 SSL 环境不会刷新 LDAP 服务器上的证书撤销列表。 有关执行此操作的指示信息,请参阅 运行 CCRL 事务。
如果 SSL 环境的重建不成功,那么旧 SSL 环境和旧证书高速缓存将保留并继续由 CICS 区域使用。
如果 CICS 区域不使用 SSL ,那么 CICS 会生成错误消息以响应 CEMT PERFORM SSL REBUILD 命令。 如果在 CICS 区域使用 SSL 时接收到错误消息,请检查 MSGUSR 日志。 MSGUSR 日志中的消息 DFHSO0123 指示 CICS 区域的密钥环存在问题。
语法
选项
- 重建
- 可选关键字。 它不会改变命令的操作。