TLS v1.2 の AT-TLS サポート
z/OS® V2R4 Communications Server は、Application Transparent Transport Layer Security (AT-TLS) 用の TLS バージョン 1.3 に対するサポートを追加しました。 これには、新規 TLSv1.3 暗号スイート TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、および TLS_CHACHA20_POLY1305_SHA256 に対するサポートが含まれます。
z/OS V2R4 Communications Server は、SMF タイプ 119 サブタイプ 11 および 12 のレコードを使用して TLSv1.3 セキュリティー・セッション情報を検出および報告するように z/OS Encryption Readiness Technology (zERT) 機能を拡張しました。 また、IBM® zERT Network Analyzer z/OSMF プラグインが拡張され、TLSv1.3 情報が受け入れられて表示されるようになり、IBM zERT Network Analyzer ユーザーは新規 TLSv1.3 セキュリティー・セッション特性を使用してデータベースの内容を照会できるようになりました。
TLS バージョン 1.3 に対するサポートは AT-TLS に対してのみ提供されます。 FTP サーバー、FTP クライアント、TN3270E サーバー、および DCAS に対するネイティブ TLS サポートは、TLSv1.3 サポートのためには更新されていません。
- TLS バージョン 1.2 以前のものに対してサポートされている暗号スイートは、TLS バージョン 1.3 に対してはサポートされていません。 TLS バージョン 1.3 に対してサポートされている暗号スイートは、それより前のバージョンの TLS に対してはサポートされていません。 TLSv1.3 以前のバージョンが有効になっている場合、サポート対象暗号スイートの構成済みリストには、TLSv1.3 に対してサポートされている値と、それより前のバージョンの TLS でサポートされている値が含まれます。
- FIPS 140-2 標準では、TLSv1.3 に対するサポートも、それに対して定義された新規暗号スイートに対するサポートも定義されていません。 TLSv1.3 プロトコルと FIPS サポートの両方を有効にすると、エラーが発生します。
Integrated Cryptographic Services Facility (ICSF) は、すべての TLSv1.3 暗号スイートをサポートするためにアクティブになっていなければなりません。
| 作業/手順 | 参照 |
|---|---|
| Network Configuration Assistant (NCA) または手動構成を使用して AT-TLS ポリシーで TLS v1.3 を有効にします。 | 以下のトピックを参照してください。
|
| オプションで、ポリシー・ベースのネットワーキング情報を表示します。 AT-TLS ポリシーを表示するには、pasearch コマンドを使用します。 | 「z/OS Communications Server: IP システム管理者のコマンド」の『z/OS UNIX pasearch コマンド: 表示ポリシー』 |
| オプションで、TCP 接続に使用されている AT-TLS ネゴシエーション済み/構成済みパラメーターを表示します。 | 「z/OS Communications Server: IP システム管理者のコマンド」の『Netstat TTLS/-x レポート』 |
オプションで、以下の SMF タイプ 119 レコードの更新済み AT-TLS 情報を表示します。
|
「z/OS Communications Server: IP Programmer's Guide and Reference」の『タイプ 119 SMF レコード』 |
| オプションで、TCP/IP 呼び出し可能 NMI (EZBNMIFR) を使用して、接続に関する更新済み AT-TLS 情報を取得します。 | 「z/OS Communications Server: IP Programmer's Guide and Reference」の『TCP/IP callable NMI (EZBNMIFR)』 |