暗号化された通信に AT-TLS を使用

z/OS® Communications Server の Application Transparent Transport Layer Security (AT-TLS) 機能を使用すれば、ATTLS 構成パラメーターを値 Y に設定することで ZCC サーバーと接続クライアントの間の通信を保護できます。例えば次のようになります。
ATTLS=Y

AT-TLS を使用するには、z/OS® Communications Server およびポリシー・エージェント規則の構成で、ZCC サーバーへのインバウンド接続の TLS 保護、およびその接続の後にクライアントとサーバーの間を流れるデータ・フローの TLS 保護を有効にする必要があります。セキュリティー管理者またはシステム・プログラマーは、この構成をインストール標準に従って作成し、AT-TLS サービスを提供するために z/OS® Communications Server ポリシー・エージェントを実行中にしておくことができます。

AT-TLS 環境を設定するには、以下の手順を実行します。
注: 細部はインストール済み環境によって異なる可能性があります。
  1. AT-TLS 機能をアクティブにするように z/OS® Communications Server プロファイル TCPCONFIG ステートメントを変更します。例えば次のようになります。
    TCPCONFIG  TTLS		; Required for AT-TLS
    オプションで、ポリシー・エージェント (PAGENT: AT-TLS 規則を有効にするために必要となる) が自動的に開始されるようにインストール済み環境において z/OS® Communications Server プロファイル AUTOLOG ステートメントを変更することもできます。例えば次のようになります。
    AUTOLOG
          PAGENT		; POLICY AGENT, required for AT-TLS
    ENDAUTOLOG
  2. ZCC サーバーへのインバウンド接続用の AT-TLS 規則を設定するために z/OS® Communications Server ポリシー・エージェント (PAGENT) 構成を作成します。例えば次のようになります。
    TTLSRule                     rule_ZCC 
    {                                            
     LocalPortRange              2800 
     Direction                   Inbound 
     TTLSGroupActionRef          grp_ZCC  
     TTLSEnvironmentActionRef    env_ZCC  
    }                                          
    TTLSGroupAction              grp_ZCC  
    { 
     TTLSEnabled                 On                 
    }                                            
    TTLSEnvironmentAction        env_ZCC
    {                                            
    HandshakeRole                Server             
    TTLSKeyRingParms                             
    {                                             
     Keyring                     ZCC.KEYRING         
    }                                            
    TTLSEnvironmentAdvancedParms                 
    {                                              
      TLSv1.3                    On                    
      HandshakeTimeout           30                    
      ApplicationControlled      On                   
     } 
    TTLSCipherParms                             
     {                                           
       V3CipherSuites4Char 13021301              
     }                                           
    TTLSSignatureParms                          
     {                                           
       ServerKeyShareGroups 00230024002500290030 
     }         
    TTLSGskAdvancedParms                        
     {                                           
       GSK_SESSION_TICKET_SERVER_ENABLE Off     
     }                                             
    }
    注: ZCC サーバーでは ApplicationControlled パラメーターをオンにする必要があります。また、有効なプロトコル値を SSL_REQUIRED 構成パラメーターに設定することも必要です。選択されたプロトコルは、AT-TLS 構成の TTLSEnvironmentAdvancedParms ステートメントで指定された AT-TLS 規則によってサポートされているプロトコルと一致しなければなりません。例えば次のようになります。
    SSL_REQUIRED=TLSv1.3

    HandshakeTimeout 値は 30 秒に設定することをお勧めします。

    また、HFISRV STC ユーザーは、TTLSKeyRingParms ステートメントの Keyring パラメーターで識別される鍵ストアにアクセスできなければなりません。TLS 1.3 でサポートされる暗号仕様、鍵共有グループ、証明書タイプについて詳しくは、https://www.ibm.com/docs/en/zos/2.4.0?topic=protocols-required-updates-enable-tls-v13-protocol-supportを参照してください。

  3. z/OS® Communications Server ポリシー・エージェントを開始します。
    注: ポリシー・エージェント構成を変更したり、ポリシー・エージェント構成で識別される鍵リングまたは鍵ストアを変更したりした場合は、ポリシー・エージェントを再始動します。

AT-TLS 構成で識別されるサーバー証明書が、信頼できる証明書として登録されていない場合、z/OS® Explorer などのクライアントは、その証明書を信頼するように要求されます。

Z Data Tools リモート・システム・サービスなどのクライアントでは、リモート・システムの信頼を確立するためにクライアント z/OS® システム上に SITE 証明書としてリモート・サーバー CA 証明書がインポートされていなければならない場合があります。