加密通信
注: 由于 SSLv3 (安全套接字层) 协议中的漏洞,在 z/OS® Explorer中不推荐使用对此协议的支持。
可以使用传输层安全性 (TLS) 来加密使用 RSE 的外部(客户机主机)通信。 此功能在缺省情况下处于禁用状态,并且由 ssl.properties
中的设置控制。 请参阅 Host Configuration Guide (SC27-8437)中的 "(可选) ssl.properties, RSE 加密通信" 。
由于 RSE 守护程序与 RSE 服务器之间的架构差异,因此它们支持不同的机制来存储证书。 符合 SAF 标准的密钥环受 RSE 守护程序和 RSE 服务器支持,并且是管理证书的首选方法。
符合 SAF 标准的密钥环可以将证书的专用密钥存储在安全数据库中,也可以使用 ICSF (集成加密服务设施) (z Systems ® 加密硬件的接口) 来存储证书的专用密钥。
注: 当专用密钥存储在安全数据库中时, ICSF 会在线程级别而不是进程级别执行许可权检查,这意味着连接的每个用户标识都必须有权访问服务器证书的专用密钥。
RSE 守护程序使用 System SSL 功能来管理加密通信。 这暗示 SYS1.SIEALNKE
必须是通过安全软件控制的程序,并且通过 rse.env
中的 LINKLIST 或 STEPLIB 伪指令对 RSE 可用。
当符合 SAF 标准的密钥环用于 RSE 守护程序或 RSE 服务器时,RSE 用户标识(下列样本命令中的
stcrse
)需要权限来访问其密钥环和相关证书。RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) ID(stcrse)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) ID(stcrse)
SETROPTS RACLIST(FACILITY) REFRESH
您可使用 Host Configuration
Guide (SC27-8437) 中的“rse.env,RSE 配置文件”一章中记录的各种变量来控制加密通信:
- 使用
rse.env
中的GSK_PROTOCOL_*
变量来控制可用于加密通信的协议。 - 使用
rse.env
中的GSK_V3_CIPHERS
变量来控制可用于加密通信的密码组。 - 使用
rse.env
中的GSK_V3_CIPHER_SPECS
和GSK_V3_ CIPHER_SPECS_EXPANDED
变量来控制可用于加密通信的密码。 - 使用
rse.env
中的GSK_SERVER_TLS_KEY_SHARES
变量来控制在 TLS V1.3 或更高版本的加密握手期间使用哪些密钥共享组。 - 使用
rse.env
中的GSK_FIPS_STATE
变量来强制实施 FIPS 140-2 标准加密通信。
注:
- z/OS Explorer 将禁用已知不安全的密码。
- RSE 守护程序会将隐式的和显式的协议和密码选择传播至 RSE 服务器。
有关激活 z/OS Explorer的 加密通信 的更多详细信息,请参阅 设置加密通信和 X.509 认证 。
注: z/OS Explorer 客户机和主机必须有权访问公共加密协议和公共密码套件定义,才能设置加密通信。 有关客户机和 RSE 服务器使用的 Java™ 密码套件定义的信息,请参阅 developerWorks® Java 技术安全信息站点 (http://www.ibm.com/developerworks/java/jdk/security/)。 有关 RSE 守护程序所使用的 System SSL 密码套件定义的信息,请参阅 Cryptographic Services System SSL Programming (SC24-5901)。