创建 SSL 密码套件规范文件

您可以创建 SSL 密码套件规范文件，以指定供 SSL 使用的密码套件的列表。如果 SSL 用于 TCP/IP 连接，那么可以在定义 TCP/IP 连接的资源的 CIPHERS 属性中指定密码套件规范文件的名称。

过程

通过编辑样本规范文件或创建您自己的规范文件来创建 SSL 密码套件规范文件:
- 要修改样本 SSL 密码套件规范文件，请将 usshome/security/ciphers 目录中的其中一个样本文件复制到 ussconfig/security/ciphers 目录，其中
  
  USSHOME
  
  是 SIT 参数 USSHOME的值。
  
  USSCONFIG
  
  是 SIT 参数 USSCONFIG的值。
  
  注: SSL 密码套件规范文件必须位于 ussconfig/security/ciphers 目录中。
- 要创建您自己的 SSL 密码套件规范文件，请在 ussconfig/security/ciphers 目录中创建 XML 文件，并根据以下规则对该文件进行命名:
  - 文件名的长度最多为 28 个字符，包括 .xml 扩展名。
  - 文件名必须是 UNIX 文件的有效名称，并且仅包含字符 A-Z a-z 0-9 # - . @ _。它区分大小写。
指定规范文件中的密码套件列表，如密码套件和密码套件规范文件中所示。
如果您编辑样本文件，那么可以除去不需要的密码套件，这些套件不满足您的安全要求或不受硬件支持。您还可以添加密码套件，但只能添加那些 z/OS® 支持的密码套件。
要使文件在 SSL 连接中有效，请确保 CICS® 区域有权访问 z/OS UNIX ，并且该区域对包含规范文件的目录具有读访问权和执行访问权，并对文件本身具有读访问权。

结果

您已创建密码套件规范文件。 SSL 密码套件文件可由多个资源使用。首次安装使用规范文件的资源时，将从 zFS 读取该文件并对其进行解析。在此解析期间将标记任何错误。如果该文件有效，那么将安装资源并将密码信息存储在与该文件关联的新控制块中。安装使用相同密码文件的后续资源时，将使用控制块中的高速缓存信息。

下一步操作

如果要更新密码套件规范文件中的密码套件列表，可以直接编辑该文件，但必须重新启动 CICS 才能使更新后的列表生效。无论 START 系统初始化参数设置为 INITIAL， COLD还是 AUTO，都将针对任何类型的启动重新读取该文件。

要在不重新启动 CICS的情况下更新资源的密码套件列表，必须使用新的规范文件:

创建新的密码套件规范文件。确保此 CICS 系统尚未装入文件名。
更新现有资源定义以引用新文件。例如，发出指定了 CIPHERS(newciphers.xml) 的 CREATE TCPIPSERVICE 命令。
重新安装资源定义。