CICS® 可以使用安全套接字层 (SSL) 或传输层安全性 (TLS) 安全协议来支持安全 TCP/IP 连接。 要向客户机认证服务器,请在 RACF® 中创建证书和密钥环,并确保正确配置 CICS 区域和资源以支持安全性。
开始之前
在开始配置 CICS之前,请确定要在 SSL 握手中使用的证书类型。
关于此任务
您可以使用 RACF 来创建证书,但必须配置客户机以确保它们可以识别 RACF 服务器证书。 如果无法以此方式配置客户机 (例如,当客户机在组织外部时) ,请使用由外部认证中心签署的证书。
过程
- 在 RACF 中设置正确的权限以创建密钥环,创建签名证书 (认证中心证书) 以及将证书添加到密钥环。
- 可选: 如果您决定使用来自认证中心的证书,请使用 RACF 创建证书请求并将其发送到认证中心。
您可能需要等待若干天才能从认证中心接收签名证书。 如果所选认证中心未将其证书内置到 RACF中,那么可能必须将其导入。
- 创建密钥环。
必须在 RACF 数据库中创建密钥环。 密钥环包含:
- 您的公用密钥和专用密钥
- 您的服务器证书
- 对服务器证书的证书进行签名
- 如果客户机证书未与有效的 RACF 用户标识相关联,那么应该将您期望 CICS 使用客户机认证与之通信的客户机拥有的任何客户机证书的签名证书添加到密钥环。
- 创建证书并将其添加到密钥环。
- 确保 CICS 区域有权访问 z/OS® 系统 SSL 库 SIEALNKE。
可以使用 STEPLIB 或 JOBLIB 语句,也可以使用系统链接库。
- 定义与安全性相关的 CICS 系统初始化参数。
特别是,指定在 KEYRING 系统初始化参数中创建的密钥环的名称。
- 定义 TCPIPSERVICE 资源。
您还可以使用 CIPHERS 属性来指定 SSL 连接的安全级别。 可以使用解释为密码套件代码列表的字符串或使用密码套件规范文件的名称来指定此属性。
示例
CICS 提供了样本 REXX 程序 DFH$RING ,其中包含用于创建密钥环,创建签名证书,创建其他证书以及将其添加到密钥环的所有 RACF 命令。 DFH$RING 包含仅适用于构建测试密钥环的样本值。 如果要创建适用于生产环境的密钥环,那么必须编辑所有值。