PERFORM SSL REBUILD
刷新 CICS® 区域的 SSL 环境和证书高速缓存。
注: PERFORM SSL REBUILD 命令不适用于 CICS 正在使用通过 SSL (ATTLSAWARE) 定义的 TCPIPSERVICE (强制 AT-TLS 安全客户机连接) 的 SSL/TLS 环境。 如果要刷新此类 SSL 环境和高速缓存,请遵循 TLS 实现选项 中的指示信息。
语法
警告系统命令功能强大,可提供有关系统状态的信息,并允许对系统进行更改。 系统命令只能由授权应用程序和用户使用。
通过指定 XCMD 系统初始化参数并确保事务的命令安全检查处于激活状态(在 TRANSACTION 资源定义中指定 CMDSEC(YES) 或在 CMDSEC 系统初始化参数中指定 ALWAYS),激活命令安全检查。
条件: INVREQ , IOERR 和 NOTAUTH
NOHANDLE、RESP 和 RESP2是常用选项,可添加到所有 EXEC CICS 命令中以处理错误条件。 命令语法图和选项说明中没有明确包含这些选项。 有关这些常用选项和 EXEC CICS 命令语法的信息,请参阅 EXEC CICS 命令格式和编程注意事项.
此命令是线程安全的。
描述
PERFORM SSL REBUILD 命令是用于为 CICS 区域重建 SSL 环境的请求。 z/OS® 系统 SSL 管理 SSL 环境。 SSL 环境包含一个高速缓存,该高速缓存包含 CICS 区域的指定密钥环中的证书副本。
发出 PERFORM SSL REBUILD 命令时, CICS 区域中正在进行的任何 SSL 握手都会根据旧的证书信息继续进行,并且会保留现有的 SSL 会话。
当 SSL 环境的重建成功时,会产生以下影响:
- 证书缓存从 CICS 区域的密钥环中重建,密钥环保存在 RACF® 数据库中。 新高速缓存包含在上次构建 SSL 环境之后放入密钥环中的新证书或更新的证书的副本。 完成重建后,将使用刷新的证书信息在 CICS 区域中开始的新 SSL 握手或会话。
- 如果 SSL 环境管理 CICS 区域的本地 SSL 高速缓存 (由 CICS中的 SSLCACHE=CICS 系统初始化参数指定) ,那么将创建新的高速缓存。 SSL 高速缓存保存 SSL 会话的会话标识。 新高速缓存由在 CICS 区域中建立的新 SSL 会话填充。 删除使用旧高速缓存的最后一个连接时,将除去旧高速缓存。 如果多个 CICS 区域 (SSLCACHE=SYSPLEX) 的 SSL 高速缓存处于综合系统级别,那么不会影响该高速缓存。
- 如果 CICS 区域使用 LDAP 服务器来存储证书撤销列表 (CRL) ,那么将刷新 SSL 环境中针对 LDAP 服务器保留的绑定信息。 LDAP 服务器的详细信息取自 RACF拥有的 LDAPBIND 定义,该定义由 CICS中的 CRLPROFILE 系统初始化参数引用。 如果此概要文件的初始设置无效,并且 CICS 区域因此已禁用对 LDAP 服务器的访问权 (如消息 DFHSO0128 或 DFHSO0129所报告) ,那么重建 SSL 环境将无法复原对 LDAP 服务器的访问权。 仅对在执行重建时可供 CICS 区域使用的 LDAP 服务器进行刷新。注: 重建 SSL 环境不会刷新 LDAP 服务器上的证书撤销列表。 有关执行此操作的指示信息,请参阅 运行 CCRL 事务。
如果 PERFORM SSL REBUILD 命令未成功完成,那么旧 SSL 环境和旧证书高速缓存将保留并继续由 CICS 区域使用。 此命令将返回来自 z/OS 系统 SSL 的错误。
可能会发出消息 DFHSO0002 并执行系统转储。
选项
- GSKRESP (数据区)
- 返回包含 z/OS System SSL 返回代码的二进制全字段。 有关返回代码的解释,请参阅 z/OS Cryptographic Services System SSL Programming 中的 SSL 函数返回代码。
条件
- INVREQ
- RESP2 值:
- 1
- CICS 区域不使用 SSL。
- IOERR
- RESP2 值:
- 6
- 从 z/OS 系统 SSL 返回错误。 如果使用了该选项,那么返回码在 GSKRESP 中。
- NOTAUTH
- RESP2 值:
- 100
- 未授权与发出任务关联的用户使用此命令。