IPIC 传输安全性

系统 SSL 提供了对 IPIC 使用的 TCP/IP 套接字的传输级别安全性 (TLS) 支持。 TLS 可用于提供客户机和服务器系统的认证以及传输数据的保密认证。 TLS 客户机和服务器认证执行与 SNA 会话安全性和 MRO 绑定时安全性类似的角色 (请参阅 Intercommunication security)。

CICS® -to CICS IPIC 连接包括两个方向的套接字连接。 一组套接字用于入站请求,另一组用于出站请求。 必须为出站套接字集和入站套接字集配置 TLS 支持。 如果需要,每个集合的设置 (例如,密码套件和客户机认证支持) 可能不同。 TLS 协议级别由两个 CICS 区域支持的最高级别确定,由它们的 MAXTLSLEVEL SIT 值确定。

传输安全性由区域的 TCPIPSERVICE 资源定义中的 SSLCERTIFICATECIPHERS 属性以及客户机中的等效设置控制。 有关更多信息,请参阅 TCPIPSERVICE 资源

图 1 汇总了用于定义两个 CICS 区域之间的 TLS 连接的资源。

图 1。 对入站和出站 IPCONN 资源定义的 TLS 支持
对入站和出站 IPCONN 资源定义的 TLS 支持

TCPIPSERVICE 资源定义 定义连接的入站端。 这些设置告诉 CICS 要发送到客户机的服务器证书,以及在允许客户机获取 IPCONN 之前,它是否必须接收到有效的 TLS 客户机证书。

IPCONN 资源定义 定义连接的出站端。 这些设置指示 CICS 启动 TLS 握手。 在 TLS 握手期间, CICS 会向伙伴区域请求 TCPIPSERVICE 资源定义中指定的服务器证书。 如果在远程系统的 TCPIPSERVICE 资源定义中指定了 SSL(CLIENTAUTH) ,那么远程系统也会在握手过程中请求原始系统的证书。 除非提供有效的客户机证书,否则不启用 IPCONN 定义。

图 2 汇总了用于在 IPIC 客户机与 CICS 区域之间使用单向 IPCONN 定义 TLS 的资源。

图 2。 针对 IPIC 客户机连接的 TLS 支持
针对 IPIC 客户机连接的 TLS 支持

单向 IPCONN 仅具有入站套接字,并且使用一个或两个套接字,具体取决于客户机启动的套接字数。 传输安全性由区域的 TCPIPSERVICE 资源定义中的 SSLCERTIFICATECIPHERS 属性以及客户机配置中的等效设置控制。

IPIC 安全性和 AT-TLS

AT-TLS(应用程序透明传输层安全)是 z/OS® 上 TLS 的另一种实现方式,由.NET 提供。 IBM® z/OS Communications Server. 但是,对于 IPIC 连接,仅在基本方式下支持 AT-TLS ,这意味着 CICS 区域无法查询请求,因此不知道 TLS 协议正在使用中。 因此,不支持使用客户机证书进行用户认证。 请参阅 TLS 的实现选项