通过更新 CICS 连接策略或 CICSRequest 节点以使用 SSL ,将 CICSRequest 节点配置为通过安全套接字层 (SSL) 协议与 CICS® Transaction Server for z/OS® 通信。
准备工作
确保已完成下列任务:
- CICSRequest 节点不支持单独的信任库,因此密钥库文件必须同时提供个人证书和签署者证书。 如果在 CICS的 TCPIPSERVICE 中启用了客户机认证 (CLIENTAUTH) ,那么 IBM® App Connect Enterprise 密钥库文件还必须包含 CICS信任的个人证书。
- 将 COMMAREA 数据结构定义为消息集,如 定义 CICS Transaction Server for z/OS 数据结构中所述。
- 在 CICS上配置 IP InterCommunications (IPIC) 协议,如 为 CICSRequest 节点准备环境中所述。
关于此任务
要将 CICSRequest 节点配置为使用 SSL ,请完成以下步骤:
过程
- 对于客户机认证 (CLIENTAUTH) SSL 连接, CICS 期望 SSL 客户机证书映射到 RACF® 用户标识。 因此,在尝试与 CICS建立 SSL 连接之前,必须将 SSL 客户机证书映射到 RACF 用户标识。 如果客户机证书未映射到 RACF 用户标识,那么 IBM App Connect Enterprise 可能会显示
ECI_ERR_NO_CICS 响应。 您可以使用 RACF 命令 RACDCERT将客户机证书映射到 RACF 用户标识,该命令将客户机证书存储在 RACF 数据库中并将用户标识与其关联,或者使用 RACF 证书名称过滤。 客户机证书与用户标识之间可以进行一对一映射,您也可以提供从一个客户机证书到另一用户标识的映射以允许进行多对一映射。 您可以通过下列其中一种方法来实现此映射:
- 使客户机证书与 RACF 用户标识相关联
- 将您要处理的证书复制到MVS顺序文件中。 此文件必须具有可变长度,记录分块 (RECFM=VB),并且可以从 TSO 中访问。
- 在 TSO 中使用以下语法来运行 RACDCERT 命令:
RACDCERT ADD('datasetname') TRUST [ ID(userid) ]
其中:
- datasetname 是包含客户机证书的数据集的名称。
- userid 是与该证书相关联的用户标识。 此参数是可选的。 如果省略了此参数,那么证书与发出 RACDCERT 命令的用户相关联。
发出 RACDCERT 命令时, RACF 会在 DIGTCERT 类中创建概要文件。 此概要文件使该证书与该用户标识相关联。 然后,您可以使用该概要文件将证书转换为用户标识,而无需提供密码。 有关 RACF 命令的完整详细信息,请参阅 z/OS Security Server RACF Command Language Reference。
- RACF 证书名称过滤
通过证书名称过滤,客户机证书不会存储在 RACF 数据库中。 通过定义与证书所有者或签发者 (CA) 的专有名称匹配的过滤规则来实现一个或多个证书与 RACF 用户标识之间的关联。 样本过滤规则可能与以下示例类似:
RACDCERT ID(DEPT3USR) MAP SDNFILTER
(OU=DEPT1.OU=DEPT2.O=IBM.L=LOC.SP=NY.C=US)
当证书所有者的专有名称包含组织单元 DEPT1 和 DEPT2,组织 IBM,局部性 LOC ,州/省 NY 和国家或地区 US 时,此样本过滤规则将使用户标识 DEPT3USR 与所有证书相关联。
- 通过在 CICS 连接策略上设置 CICS Server 属性,在集成服务器中开启 SSL 支持。
或者,您可以直接在 CICSRequest 节点上配置 CICS 服务器 属性。
后续操作
将集成服务器或 CICSRequest 节点配置为使用 SSL 时,请遵循 使用 CICSRequest 节点开发消息流中的步骤来开发包含 CICSRequest 节点的消息流。