传输层安全性 (Transport Layer Security, TLS)

CICS® TS 支持传输层安全性 (TLS) 协议。 TLS 协议取代安全套接字层 (SSL) 协议，这些术语通常可互换使用。本文档使用术语 TLS 来引用 TLS 或 SSL ，除非它显式引用规范版本或 server.xml 配置文件元素的名称。具体而言， CICS 支持 TLS 1.1， 1.2 和 1.3。 TLS 1.1 已稳定。有关更多信息，请参阅稳定声明和已停用的功能。

TLS 协议由两层组成，即 TLS 记录协议和 TLS 握手协议。

TLS 记录协议提供连接安全性，并具有以下属性:
- 连接是专用的。密钥密码术用于数据加密。此密钥加密的密钥是针对每个连接唯一生成的，并且基于握手协商的密钥。
- 连接可靠。消息传输包括使用键控散列 MAC (HMAC) 进行消息完整性检查。安全散列函数 (例如 SHA-1 或 MD5) 用于 MAC 计算。
TLS 握手协议与 TLS 记录协议一起运行，以允许服务器和客户机相互认证，并在传输任何数据之前协商加密算法和密钥。 TLS 握手协议提供具有以下属性的连接安全性:
- 可以使用公用密钥密码术来认证同级的身份。
- 共享密钥的协商是安全的，协商的密钥不可供 eavesdroppers 使用。对于任何已认证的连接，都无法获取该私钥，即使是可以拦截该连接的攻击者也是如此。
- 谈判是可靠的。任何攻击者都不能在通信双方未检测到的情况下修改协商通信。

当 CICS 充当 HTTP 客户机并尝试通过 TLS 与充当虚拟主机的同级进行通信时，将在握手期间在服务器名称指示 (SNI) 扩展中传递主机名。主机名的传递符合因特网工程任务组 RFC 6066 中指定的 TLS 握手协议。

在客户机与服务器之间进行握手后，将建立加密 TLS 连接。服务器的数字证书将传递到客户机。客户机知道服务器可由哪个认证中心 (CA) 对服务器证书进行信任。如果 CA 可信，那么服务器证书可信，并且 TLS 会话已设置。有关 TLS 1.2 握手的更多信息，请参阅 TLS 1.2 协议。有关 TLS 1.3 握手的更多信息，请参阅 TLS 1.3。

对于发送到服务器的 TLS 请求， z/OS® Connect 服务器充当 "服务器" ，而 "客户机" 是 z/OS Connect 充当 API 提供者时的 REST 客户机，或者 CICS， IMS 或 z/OS Connect 充当 API 请求者时的 z/OS 应用程序。

对于从 z/OS Connect 服务器发送的 TLS 请求， z/OS Connect 服务器充当 "客户机" ，当 z/OS Connect 充当 API 提供者时， "服务器" 是记录系统，当 z/OS Connect 充当 API 请求者时， "服务器" 是 RESTful API 端点。