TLS 暗号スイート仕様ファイルの作成

TLS 暗号スイート仕様ファイルを作成して、TLS が使用する暗号スイートのリストを指定できます。 TCP/IP 接続に TLS が使用される場合、TCP/IP 接続を定義するリソースの CIPHERS 属性で暗号スイート仕様ファイルの名前を指定できます。

6.26.1 機能トグル com.ibm.cics.web.defaultciperfile=true を設定している場合は、という defaultciphers.xml 名前の暗号仕様ファイルが必要です。 CICS このファイルは、セキュアなTCP/IP接続用に代替ファイルが指定されていない場合に、デフォルトの暗号スイートを提供するために使用されます。

6.3 ベータ版暗号仕様ファイルが. という名前で存在している必要があります defaultciphers.xml。 CICS SIT KEYRING パラメータがキーリング名を指定している場合、起動時にこのファイルを読み込みます。 これにより、 CICS が管理する TLS 接続を利用できるようになります。 CICS このファイルは、セキュアなTCP/IP接続用に代替ファイルが指定されていない場合に、デフォルトの暗号スイートを提供するために使用されます。 CICS このファイルが ディレクトリ ussconfig/security/ciphers で見つからない場合、 ディレクトリ usshome/security/ciphers から読み込もうとします。

手順

  1. サンプル仕様ファイルを編集するか、独自の仕様ファイルを作成して、TLS 暗号スイート仕様ファイルを作成します。
    • サンプルの TLS 暗号スイート仕様ファイルを変更するには、 usshome/security/ciphers ディレクトリーにあるサンプル・ファイルのいずれかを ussconfig/security/ciphers ディレクトリーにコピーします。ここで、
      USSHOME
      SIT パラメーター USSHOME の値です。
      USSCONFIG
      SIT パラメーター USSCONFIG の値です。
      注: TLS 暗号スイート仕様ファイルは、 ussconfig/security/ciphers ディレクトリーになければなりません。
    • 独自の TLS 暗号スイート仕様ファイルを作成するには、 ussconfig/security/ciphers ディレクトリーに XML ファイルを作成し、そのファイルが以下の規則に従っていることを確認します。
      • ファイル名の長さは、.xml 拡張子を含めて、最大 28 文字です。
      • ファイル名では大/小文字が区別されます。 UNIX ファイルの有効な名前でなければならず、以下の文字のみで構成されている必要があります。 A-Z a-z 0-9 # - . @ _
      • ファイルは EBCDIC 037 エンコードを使用する必要があります。
  2. 仕様ファイルに暗号スイートのリストを指定してください。
    暗号スイートの順序は重要です。 CICS がサーバーとして動作している場合、リスト内の最初の有効な暗号スイートで、かつクライアントがサポートしているものが選択されます。 CICS がクライアントとして動作している場合、通常はクライアント側の暗号スイートリストの順序が、サーバー側との一致する暗号スイートを見つけるために使用される。 暗号スイート仕様ファイルには、組織のセキュリティ基準を満たす暗号スイートのみを含めるようにしてください。 z/OS でサポートされている任意の暗号スイートを含めることができます。

    暗号スイート仕様ファイルの形式は、4桁の暗号スイートコードを指定する1つ以上の <cipher> 要素を含む単一の <cipher_list> 要素である。

    以下の暗号仕様ファイルの例には、2つの暗号が含まれています。 C030 に続いて、 C02C が記述されています。
    <?xml version="1.0" encoding="EBCDIC-CP-US"?>
<cipher_list xmlns="http://www.ibm.com/software/htp/cics/ciphers">       
    <cipher number="C030">
       <!-- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 -->
    </cipher>
    <cipher number="C02C">
       <!-- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 -->
    </cipher>
<cipher_list>
    注記: CICS は4桁の暗号スイートコードのみを使用します。 CICS 完全な暗号スイート名を使用しません。 各暗号スイートコードが何を表すかをより理解しやすくするため、名前は例としてコメントとして記載されています。
  3. ファイルがTLS接続で有効になるためには、 CICS のリージョンが、 z/OS UNIX にアクセスする権限を持っていること、また、そのリージョンが、指定ファイルを含むディレクトリへの読み取り権限と実行権限、およびファイル自体への読み取り権限を持っていることを確認すること。

結果

暗号スイート仕様ファイルが作成されました。 TLS 暗号スイート・ファイルは、複数のリソースで使用できます。 仕様ファイルを使用するリソースが初めてインストールされるときに、ファイルが zFS から読み取られ、解析されます。 この解析中に、エラーがあればフラグが立てられます。 ファイルが有効である場合、リソースがインストールされ、そのファイルに関連付けられている新しい制御ブロックに暗号情報が保管されます。 同じ暗号ファイルを使用する後続のリソースがインストールされると、制御ブロックにキャッシュされた情報が使用されます。

次のタスク

暗号スイート仕様ファイル内の暗号スイートのリストを更新する場合は、ファイルを直接編集できますが、更新されたリストを有効にするには CICS を再始動する必要があります。 START システム初期設定パラメーターが INITIALCOLDAUTO のいずれに設定されている場合でも、開始のタイプに合わせてファイルの再読み取りが行われます。

CICSを再始動せずにリソースの暗号スイートのリストを更新するには、新しい仕様ファイルを使用する必要があります。
  1. 新しい暗号スイート仕様ファイルを作成します。 ファイル名がこの CICS システムによってロードされていないことを確認してください。
  2. 既存のリソース定義を、新規ファイルを参照するように更新します。 例えば、 CIPHERS(newciphers.xml) を指定して CREATE TCPIPSERVICE コマンドを発行します。
  3. リソース定義を再インストールします。

独自の名前付きファイルを使用したい場合は、ファイルシステム上にシンボリックリンクを作成することで defaultciphers.xml、同一のファイルを2つ管理する必要を回避できます。

ディレクトリ ussconfig/security/ciphers から、以下のコマンドを入力します。ただし、を暗号仕様ファイル名に myciphers.xml 置き換えてください:
ln -s myciphers.xml defaultciphers.xml
注: ディレクトリ ussconfig/security/ciphers に が既に存在 defaultciphers.xml する場合、 コマンド ln は失敗します。

元のファイル名と拡張子を使用してファイルにアクセス defaultciphers.xmlできるようになりました。

複数の CICS リージョン間で単一の暗号仕様ファイルを共有する場合(各リージョンが独自の USSCONFIG ディレクトリを持つ場合)、同様の手順に従います:
  • 単一の共有ディレクトリを作成し、必要なすべての CICS リージョンに読み取りアクセス権を付与します。
  • 共有ディレクトリ内に暗号仕様ファイル (myciphers.xml) を作成する。 必要なすべての CICS リージョンに対して読み取りアクセス権を付与する。
  • 共有ファイルを使用する必要がある各 CICS 領域 ussconfig/security/ciphers のディレクトリから、以下のコマンドを実行します:
    ln -s /path/to/shared/directory/myciphers.xml myciphers.xml
ln -s /path/to/shared/directory/myciphers.xml defaultciphers.xml

すべての CICS リージョンから、元の名前または defaultciphers.xml.を使用して、単一の共有暗号仕様ファイルにアクセスできるようになりました。 これにより、 CICS で使用される暗号スイートを変更する必要がある場合、単一のファイルのみを更新できるようになります。