使 CICS TS 系统符合 NIST SP800-131A 标准

要使系统符合 SP800-131A 标准,请更新各个 SIT 参数和资源属性以使用合适的密码套件和证书。

关于此任务

符合美国国家标准技术学会 (NIST) SP800-131A 安全标准通过要求使用更强的密钥和更强健的算法来增强安全性。

有关 NIST 标准的更多信息,请参阅 NIST Computer Security Resource Center (nist.gov)

注: 如果 MAXTLSLEVEL 设置为 TLS13,那么将忽略此配置。

过程

要使系统符合 NIST SP800-131A,请完成以下步骤:

  1. NISTSP800131A 系统初始化参数设置为 NISTSP800131A=CHECK
  2. MINTLSLEVELMAXLSLEVEL 系统初始化参数设置为 TLS12
  3. KEYRING 系统初始化参数设置为使用符合 NIST SP800-131A 的证书填充的密钥环的名称。
  4. USSCONFIG 系统初始化参数设置为 z/OS UNIX 上 CICS 事务服务器配置文件根目录的名称和路径。
    此目录必须具有至少包含一个 SSL 密码套件规范文件的 /security/ciphers/ 子目录。 有关更多信息,请参阅 定制加密协商
  5. 创建 defaultciphers.xml 并确保其包含符合 SP800-131A 的密码套件。 fipsciphers.xml 中的密码适用。
  6. 更新任何 TCPIPSERVICE , IPCONN 或 URIMAP 定义,将 CIPHERS 属性设置为包含符合 SP800-131A 的密码套件的 SSL 密码套件规范文件的名称。
    样本文件 fipsciphers.xml 适用。
  7. 更新任何 TCPIPSERVICE , IPCONN 或 URIMAP 定义,将 CERTIFICATE 属性设置为符合 SP800-131A 的证书标签的名称。
    此外,任何使用SSL HTTP还必须在任何 EXEC CICS WEB OPEN 命令中使用SP800-131A 标准的证书。 如果您使用钥匙圈默认证书与任何这些资源定义或 WEB OPEN 命令,请确保钥匙圈默认证书符合 SP800-131A。
  8. 如果使用 CICSPlex SM Web 用户界面 (WUI) 连接到 CICS,请将 TCPIPSSLCIPHERS WUI 服务器初始化参数设置为包含符合 SP800-131A 的密码套件的 SSL 密码套件规范文件的名称。
    样本文件 fipsciphers.xml 适用。
  9. 如果使用 CICSPlex SM WUI 连接到 CICS,请将 TCPIPSSLCERT WUI 服务器初始化参数设置为符合 SP800-131A 的证书标签的名称。
    如果使用密钥环缺省证书,请确保它符合 SP800-131A 。

下一步操作

任何连接到 CICS 的客户机都必须符合 SP800-131A-conformant ,并且必须支持 TLS 1.2。 为了符合要求,他们必须能够使用 SP800-131A 符合要求的密码套件,如果他们使用证书,那么还必须能够使用 SP800-131A 符合要求的证书。

任何合作伙伴 CICS 系统都必须使用 MINTLSLEVEL=TLS12MINTLSLEVEL=TLS12 系统进行通信,并且必须将其配置为使用符合 SP800-131A 的密码套件和证书。

注: 如果设置 NISTSP800131A=CHECK,那么 CICS 将执行以下操作:
  • 启动 JVM 服务器时, CICS 会设置 Java™ 属性以使 Java NIST SP800-131A 符合要求。
  • 如果使用 SAML 并对出站消息进行签名,那么 CICS 会发出消息 DFHXS1300 ,以警告您检查所使用的证书是否符合要求。
  • 如果使用 WS-Security ,那么 CICS 会发出消息 DFHXS1301 ,因为 WS-Security 的 CICS 支持不符合 NIST SP800-131A。
  • 打开使用 SSL (ATTLSAWARE) 定义的 TCPIPSERVICE 时, CICS 会发出消息 DFHSO0148 以警告您用于保护此 TCPIPSERVICE 的 AT-TLS 策略必须符合 NIST SP800-131A。 请参阅 z/OS Communications Server: IP Configuration Guide 中的 AT-TLS 策略配置