启用安全通信
您可以启用 Data Collector 来使用带有私钥的安全套接字层 (SSL) 证书和存储在密钥库文件中的自签名证书或 AT-TLS 与 z/OS® Debugger 进行通信。
使用密钥存储文件启用安全通信
为确保通信安全,请使用包含私钥和自签名证书的密钥库配置安全套接层(SSL)。
- 生成
PKCS#12keystore 文件,该文件包含自签名或 CA 签名证书,具体取决于调试配置文件服务 使用哪种证书。 有关如何生成密钥存储文件的更多信息,请参阅启用安全通信。 - 更新
keystore_file/etc/debug/eqadcol.env变量的值,以指向步骤 1 中创建或选择的密钥存储文件。 有关自定义eqadcol.env文件的更多详情,请参阅使用示例任务 EQADCLSU 进行自定义。 - 要确保只有受保护的用户 ID STCEQA2 才能读取密钥存储文件,请用以下命令更改文件的所有者和权限:
chown STCEQA2:STCGROUP keystore.p12 chmod 640 keystore.p12
使用 AT-TLS 实现安全通信
您还可以使用称为应用程序透明传输层安全(AT-TLS)的 TCP/IP 服务,实现与数据收集器的安全通信。 有关如何设置 AT-TLS 的详细信息,请参阅设置 AT-TLS。
为 eqadcol.env 配置文件中指定的数据收集器使用的端口创建 AT-TLS 策略。 请参考以下政策样本:
TTLSRule EQADCOL
{
LocalPortRange 8002
Direction Inbound
TTLSGroupActionRef. EQADCOL _group
TTLSEnvironmentActionRef EQADCOL _env
TTLSConnectionActionRef EQADCOL _conn
}
TTLSGroupAction EQADCOL _group
{
TTLSEnabled On
}
TTLSEnvironmentAction EQADCOL _env
{
HandshakeRole Server
TTLSKeyringParms
{
# Keyring must be owned by the user id running the EQADCOL started task
Keyring EQADCOL.keyring
}
}
TTLSConnectionAction EQADCOL _conn
{
HandshakeRole Server
TTLSCipherParmsRef EQADCOL _cipherparms
TTLSConnectionAdvancedParmsRef. EQADCOL _Conn_adv
CtraceClearText Off
}
TTLSConnectionAdvancedParms EQADCOL _Conn_adv
{
TLSv1 Off
TLSv1.1 Off
TLSv1.2 On
SSLV3 Off
ApplicationControlled Off
SecondaryMap Off
HandshakeTimeout. 20
}
TTLSCipherParms EQADCOL _cipherparms
{
V3CipherSuites TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
V3CipherSuites TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
V3CipherSuites TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
V3CipherSuites TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
V3CipherSuites TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
V3CipherSuites TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
}