SSL/TLS 暗号化通信の設定

サンプル HFICONFG 構成ファイル・メンバーには、CONFIG=DEFAULT セクションにある次の行でアクティブになっている TLS 1.2 暗号化通信があります。

SSL_REQUIRED=YES

他のバージョンの TLS を使用する場合、SSL_REQUIRED に指定できるその他の値については、構成ファイル・キーワードの説明を参照してください。お客様の環境で TLS 暗号化が不要な場合は、この行をコメントにして次の行のコメントを外します (または既存の行を SSL_REQUIRED=NO に変更します)。

SAF 鍵リングを使用する場合、SSL_KEYRING 行のコメントを外して、変更してください。生成する証明書にラベル「ZCC サーバー証明書」がない場合は、SSL_LABEL 行のコメントも外して、変更する必要があります。

鍵リングの証明書を使用するにあたって、Common Server のユーザーの間で証明書を共有するためには、サーバー・タスクまたはジョブのユーザー ID、さらにサーバーに接続しているユーザー ID に、IRR.DIGTCERT.LISTRING ファシリティーに対する UPDATE アクセス権限と IRR.DIGCERT.GENCERT ファシリティーに対する CONTROL アクセス権限が必要です。

RACF® ユーザーであれば、以下のサンプル・コマンドで鍵リングと証明書を作成することができます。TLS 1.3 使用時の最小鍵サイズは 2048 であることに注意してください。

RACDCERT ID(HFISRV) ADDRING(RINGA)
RACDCERT GENCERT SITE SIZE(2048)           -
         SUBJECTSDN(                       -
           CN('Common Server')             -
           OU('ADL')                       -
           O('ADL')                        -
           C('AU'))                        -
 WITHLABEL('ZCC サーバー証明書')
RACDCERT ID(HFISRV)                                       -
         CONNECT(SITE LABEL('ZCC サーバー証明書')   -
         RING(RINGA) USAGE(PERSONAL)                      -
         DEFAULT)
SETR REFR RACL(DIGTCERT)

この例では、 HFISRV は ZCC サーバー タスクのユーザー ID に使用されています。

生成される証明書は、SITE 証明書でなければならないことに注意してください。これは、複数のユーザーが証明書にアクセスする必要があるためです。SITE 証明書の代わりに、AT-TLS を使用する方法があります。詳しくは、暗号化された通信に AT-TLS を使用 を参照してください。

SSL_KEYRING=HFISRV/RINGA を組み込んでサーバー構成を更新すると、上の例で生成される証明書が使用されます。これらのコマンドは動作の例としてのみ用意されているため、必要に応じて更新する必要があります。RACDCERT コマンドの説明は、「z/OS® Security Server RACF® コマンド言語解説書」にあります。

ICSF を使用していて、CSFSERV ファシリティー・クラスによって保護されたリソースがある場合は、例えば次のようにして、サーバー・ユーザーまたはグループ ID をリソースに対して許可する必要があります。
PERMIT  CSF*  CLASS(CSFSERV)
            ID(groupid)  ACCESS(READ)
詳しくは、「Cryptographic Services ICSF 管理者ガイド」を参照してください。

System SSL コンポーネントが使用する暗号ストリングまたは TLS 鍵共有を指定したい場合は、STDENV DD ステートメントを介して環境変数を指定するよう、必要に応じてサーバー JCL を変更してください。サンプル・サーバー・JCL・メンバー HFISRV1 には、STDENV を介して GSK_V3_CIPHER_SPECS_EXPANDED および GSK_SERVER_TLS_KEY_SHARES を指定する例が含まれています。

TLS 1.3 を使用する場合の考慮事項

クライアントと ZCC サーバー の間で通信するために TLS 1.3 の使用を構成するには、2 つの方法があります。1 つ目は、サーバー構成パラメーターで SSL_REQUIRED=TLSV1.3 および ATTLS=NO を指定することです。この方法により、サーバーは TLS 1.3 に対して独自の組み込みサポートを使用します。

この方法を使用する場合は、サーバー始動プロシージャーで GSK_V3_CIPHER_SPECS_EXPANDED および GSK_SERVER_TLS_KEY_SHARES の値を指定する必要があります。TLS V1.3 で使用できる暗号仕様および鍵共有グループについて詳しくは、https://www.ibm.com/docs/en/zos/2.4.0?topic=protocols-required-updates-enable-tls-v13-protocol-supportを参照してください。

2 つ目の方法は、サーバー構成で SSL_REQUIRED=TLSV1.3 および ATTLS=YES を指定することです。この方法により、サーバーは暗号化操作を ATTLS にオフロードします。AT-TLS の使用について詳しくは、暗号化された通信に AT-TLS を使用を参照してください。