暗号化された通信に AT-TLS を使用
ATTLS=Y
AT-TLS を使用するには、z/OS® Communications Server およびポリシー・エージェント規則の構成で、ZCC サーバーへのインバウンド接続の TLS 保護、およびその接続の後にクライアントとサーバーの間を流れるデータ・フローの TLS 保護を有効にする必要があります。セキュリティー管理者またはシステム・プログラマーは、この構成をインストール標準に従って作成し、AT-TLS サービスを提供するために z/OS® Communications Server ポリシー・エージェントを実行中にしておくことができます。
- AT-TLS 機能をアクティブにするように z/OS® Communications Server プロファイル TCPCONFIG ステートメントを変更します。例えば次のようになります。
オプションで、ポリシー・エージェント (PAGENT: AT-TLS 規則を有効にするために必要となる) が自動的に開始されるようにインストール済み環境において z/OS® Communications Server プロファイル AUTOLOG ステートメントを変更することもできます。例えば次のようになります。TCPCONFIG TTLS ; Required for AT-TLS
AUTOLOG PAGENT ; POLICY AGENT, required for AT-TLS ENDAUTOLOG
- ZCC
サーバーへのインバウンド接続用の AT-TLS 規則を設定するために z/OS® Communications Server ポリシー・エージェント (PAGENT) 構成を作成します。例えば次のようになります。
TTLSRule rule_ZCC { LocalPortRange 2800 Direction Inbound TTLSGroupActionRef grp_ZCC TTLSEnvironmentActionRef env_ZCC } TTLSGroupAction grp_ZCC { TTLSEnabled On } TTLSEnvironmentAction env_ZCC { HandshakeRole Server TTLSKeyRingParms { Keyring ZCC.KEYRING } TTLSEnvironmentAdvancedParms { TLSv1.3 On HandshakeTimeout 30 ApplicationControlled On } TTLSCipherParms { V3CipherSuites4Char 13021301 } TTLSSignatureParms { ServerKeyShareGroups 00230024002500290030 } TTLSGskAdvancedParms { GSK_SESSION_TICKET_SERVER_ENABLE Off } }
注: ZCC サーバーでは ApplicationControlled パラメーターをオンにする必要があります。また、有効なプロトコル値を SSL_REQUIRED 構成パラメーターに設定することも必要です。選択されたプロトコルは、AT-TLS 構成の TTLSEnvironmentAdvancedParms ステートメントで指定された AT-TLS 規則によってサポートされているプロトコルと一致しなければなりません。例えば次のようになります。SSL_REQUIRED=TLSv1.3
HandshakeTimeout 値は 30 秒に設定することをお勧めします。
また、HFISRV STC ユーザーは、TTLSKeyRingParms ステートメントの Keyring パラメーターで識別される鍵ストアにアクセスできなければなりません。TLS 1.3 でサポートされる暗号仕様、鍵共有グループ、証明書タイプについて詳しくは、https://www.ibm.com/docs/en/zos/2.4.0?topic=protocols-required-updates-enable-tls-v13-protocol-supportを参照してください。
- z/OS® Communications Server ポリシー・エージェントを開始します。注: ポリシー・エージェント構成を変更したり、ポリシー・エージェント構成で識別される鍵リングまたは鍵ストアを変更したりした場合は、ポリシー・エージェントを再始動します。
AT-TLS 構成で識別されるサーバー証明書が、信頼できる証明書として登録されていない場合、z/OS® Explorer などのクライアントは、その証明書を信頼するように要求されます。
Z Data Tools リモート・システム・サービスなどのクライアントでは、リモート・システムの信頼を確立するためにクライアント z/OS® システム上に SITE 証明書としてリモート・サーバー CA 証明書がインポートされていなければならない場合があります。