MINTLSLEVEL
MINTLSLEVEL 系统初始化参数指定 CICS® 用于安全 TCP/IP 连接的最低 TLS 协议。
注: 当使用 AT-TLS 来保护套接字会话时,不再需要 CICS SSL/TLS 系统初始化参数 (例如 KEYRING, MINTLSLEVEL和 MAXTLSLEVEL ) ,因为 TLS 的实现由 AT-TLS 策略语句提供,并且所有加密和解密都在 CICS 地址空间外部完成。 有关更多信息,请参阅 TLS 的实现选项 。
- MINTLSLEVEL = {TLS11 |TLS12| TLS13}
- 在一对进程之间建立安全连接时,将使用这两个进程支持的最安全 TLS 协议。 如果 MINTLSLEVEL 高于 MAXTLSLEVEL ,则 MINTLSLEVEL 将被缩减并设置为 MAXTLSLEVEL 的值。 信息、 DFHSO0254 在调整 MINTLSLEVEL 时发出。
- 6.1 6.2 TLS11
- 将 TLS 的最低级别设置为 1.1。
- TLS12
- 将 TLS 的最低级别设置为 1.2。 此设置是缺省值。
- TLS13
- 将 TLS 的最低级别设置为 1.3。
更改最低 TLS 协议级别
如果您希望提高 MINTLSLEVEL中定义的最低 TLS 协议级别,那么您希望确保标识使用该协议进行的所有握手。 有关如何管理进程的更多信息,请参阅 安全地更改 TLS 协议级别或密码。
FIPS 140-$tag1 标准
要应用 FIPS 140-$tag1 标准,请设置 MINTLSLEVEL=TLS12 和 NISTSP800131A=CHECK。
如果设置了 NISTSP800131A=CHECK ,但 MINTLSLEVEL 设置为 TLS11,那么会将其覆盖为 MINTLSLEVEL=TLS12 并发出警告消息。 如果 TLS 设置为 1.3,那么此检查不适用。
要在 z/OS® Version 2 Release 1 或更高版本上应用 FIPS 140-$tag1 标准, ICSF (Integrated Cryptographic Services Facility) 必须在系统上处于活动状态。
有关 NIST SP800-131A 一致性的更多信息,请参阅 使 CICS TS 系统符合 NIST SP800-131A。