MINTLSLEVEL
MINTLSLEVEL 系统初始化参数指定 CICS® 用于安全 TCP/IP 连接的最低 TLS 协议。
注: 当使用 AT-TLS 来保护套接字会话时,不再需要 CICS SSL/TLS 系统初始化参数 (例如 KEYRING 和 MINTLSLEVEL ) ,因为 TLS 的实现由 AT-TLS 策略语句提供,并且所有加密和解密都在 CICS 地址空间外部完成。 有关详细信息,请参阅 应用程序透明传输层安全性 (AT-TLS) 简介。
- MINTLSLEVEL = {TLS10| TLS11 | TLS12 | MINTLS10ONLY}
- 在一对进程之间建立安全连接时,将使用两者支持的最安全 TLS 协议。
- TLS10
- 将 TLS 的最低级别设置为 1.0。 这是缺省值。注: 如果在先前发行版上使用了
ENCRYPTION=STRONG,那么如果客户机未正确处理 TLS 级别的协商,那么可能会发生行为更改。 如果这导致问题,请改为使用MINTLSLEVEL=TLS10ONLY。 - TLS11
- 将 TLS 的最低级别设置为 1.1。
- TLS12
- 将 TLS 的最低级别设置为 1.2。
- TLS10ONLY
- 仅将 TLS 级别设置为 1.0 。
要应用 FIPS 140-$tag1 标准,请设置 MINTLSLEVEL=TLS12 和 NISTSP800131A=CHECK。 如果设置了 NISTSP800131A=CHECK ,但 MINTLSLEVEL 设置为 TLS12以外的值,那么会将其覆盖为 MINTLSLEVEL=TLS12 并发出警告消息。
要在 z/OS® Version 2 Release 1 或更高版本上应用 FIPS 140-$tag1 标准, ICSF (Integrated Cryptographic Services Facility) 必须在系统上处于活动状态。
有关 NIST SP800-131A 一致性的更多信息,请参阅 使 CICS TS 系统符合 NIST SP800-131A。