暗号化された通信に AT-TLS を使用

z/OS® Communications Server の Application Transparent Transport Layer Security (AT-TLS) 機能を使用すれば、ATTLS 構成パラメーターを値 Y に設定することで ZCC serverと接続クライアントの間の通信を保護できます。例:

ATTLS=Y

AT-TLS を使用するには、z/OS® Communications Server およびポリシー・エージェント規則の構成で、ZCC serverへのインバウンド接続の TLS 保護、およびその接続の後にクライアントとサーバーの間を流れるデータ・フローの TLS 保護を有効にする必要があります。セキュリティー管理者またはシステム・プログラマーは、この構成をインストール標準に従って作成し、AT-TLS サービスを提供するために z/OS® Communications Server ポリシー・エージェントを実行中にしておくことができます。

AT-TLS 環境を設定するには、以下の手順を実行します。

注:

細部はインストール済み環境によって異なる可能性があります。

AT-TLS 機能をアクティブにするように z/OS® Communications Server プロファイル TCPCONFIG ステートメントを変更します。例:
```
TCPCONFIG  TTLS		; Required for AT-TLS
```
オプションで、ポリシー・エージェント (PAGENT: AT-TLS 規則を有効にするために必要となる) が自動的に開始されるようにインストール済み環境において z/OS® Communications Server プロファイル AUTOLOG ステートメントを変更することもできます。例:
```
AUTOLOG
      PAGENT		; POLICY AGENT, required for AT-TLS
ENDAUTOLOG
```

z/OS®へのインバウンド接続用の AT-TLS 規則を設定するために ZCC server Communications Server ポリシー・エージェント (PAGENT) 構成を作成します。例:

TTLSRule                     rule_ZCC 
{                                            
 LocalPortRange              2800 
 Direction                   Inbound 
 TTLSGroupActionRef          grp_ZCC  
 TTLSEnvironmentActionRef    env_ZCC  
}                                          
TTLSGroupAction              grp_ZCC  
{ 
 TTLSEnabled                 On                 
}                                            
TTLSEnvironmentAction        env_ZCC
{                                            
HandshakeRole                Server             
TTLSKeyRingParms                             
{                                             
 Keyring                     ZCC.KEYRING         
}                                            
TTLSEnvironmentAdvancedParms                 
{                                              
  TLSv1.3                    On                    
  HandshakeTimeout           30                    
  ApplicationControlled      On                   
 }
TTLSCipherParms                             
 {                                           
   V3CipherSuites4Char 13021301              
 }                                           
TTLSSignatureParms                          
 {                                           
   ServerKeyShareGroups 00230024002500290030 
 }         
TTLSGskAdvancedParms                        
 {                                           
   GSK_SESSION_TICKET_SERVER_ENABLE Off     
 }                                              
}

注:

ZCC serverでは ApplicationControlled パラメーターをオンにする必要があります。また、構成パラメーター SSL_REQUIRED を有効なプロトコル値に設定する必要があります。選択されたプロトコルは、AT-TLS 構成の TTLSEnvironmentAdvancedParms ステートメントで指定された AT-TLS 規則によってサポートされているプロトコルと一致しなければなりません。例:

SSL_REQUIRED=TLSv1.3

HandshakeTimeout 値は 30 秒に設定することをお勧めします。ルール内で LocalAddr* (LocalAddr、LocalAddrRef、LocalAddrSetRef、LocalAddrGroupRef) ステートメントを使用して、ZCC server がリスンする IP アドレスを制限する場合は、ステートメントがアドレス 127.0.0.1 のサーバーへの接続を許可するようにする必要があります。

また、HFISRV STC ユーザーは、TTLSKeyRingParms ステートメントの Keyring パラメーターで識別される鍵ストアにアクセスできなければなりません。TLS 1.3 でサポートされる暗号仕様、鍵共有グループ、証明書タイプについて詳しくは、https://www.ibm.com/docs/en/zos/2.4.0?topic=protocols-required-updates-enable-tls-v13-protocol-supportを参照してください。

z/OS® Communications Server ポリシー・エージェントを開始します。
注:
ポリシー・エージェント構成を変更したり、ポリシー・エージェント構成で識別される鍵リングまたは鍵ストアを変更したりした場合は、ポリシー・エージェントを再始動します。

AT-TLS 構成で識別されるサーバー証明書が、信頼できる証明書として登録されていない場合、z/OS® Explorer などのクライアントは、その証明書を信頼するように要求されます。

Z Data Tools リモート・システム・サービスなどのクライアントでは、リモート・システムの信頼を確立するためにクライアント z/OS® システム上に SITE 証明書としてリモート・サーバー CA 証明書がインポートされていなければならない場合があります。