SSL/TLS 暗号化通信の設定
サンプル HFICONFG 構成ファイル・メンバーには、CONFIG=DEFAULT セクションにある次の行でアクティブになっている TLS 1.2 暗号化通信があります。
SSL_REQUIRED=YES
他のバージョンの TLS を使用する場合、SSL_REQUIRED に指定できるその他の値については、構成ファイル・キーワードの説明を参照してください。お客様の環境で TLS 暗号化が不要な場合は、この行をコメントにして次の行のコメントを外します (または既存の行を SSL_REQUIRED=NO
に変更します)。
SAF 鍵リングを使用する場合、SSL_KEYRING 行のコメントを外して、変更してください。生成する証明書にラベル「ZCC サーバー証明書」がない場合は、SSL_LABEL 行のコメントも外して、変更する必要があります。
鍵リングの証明書を使用するにあたって、Common Server のユーザーの間で証明書を共有するためには、サーバー・タスクまたはジョブのユーザー ID、さらにサーバーに接続しているユーザー ID に、IRR.DIGTCERT.LISTRING ファシリティーに対する UPDATE アクセス権限と IRR.DIGCERT.GENCERT ファシリティーに対する CONTROL アクセス権限が必要です。
RACF® ユーザーであれば、以下のサンプル・コマンドで鍵リングと証明書を作成することができます。TLS 1.3 使用時の最小鍵サイズは 2048 であることに注意してください。
RACDCERT ID(HFISRV) ADDRING(RINGA)
RACDCERT GENCERT SITE SIZE(2048) -
SUBJECTSDN( -
CN('Common Server') -
OU('ADL') -
O('ADL') -
C('AU')) -
WITHLABEL('ZCC サーバー証明書')
RACDCERT ID(HFISRV) -
CONNECT(SITE LABEL('ZCC サーバー証明書') -
RING(RINGA) USAGE(PERSONAL) -
DEFAULT)
SETR REFR RACL(DIGTCERT)
この例では、 HFISRV は ZCC サーバー タスクのユーザー ID に使用されています。
生成される証明書は、SITE 証明書でなければならないことに注意してください。これは、複数のユーザーが証明書にアクセスする必要があるためです。SITE 証明書の代わりに、AT-TLS を使用する方法があります。詳しくは、暗号化された通信に AT-TLS を使用 を参照してください。
SSL_KEYRING=HFISRV/RINGA を組み込んでサーバー構成を更新すると、上の例で生成される証明書が使用されます。これらのコマンドは動作の例としてのみ用意されているため、必要に応じて更新する必要があります。RACDCERT コマンドの説明は、「z/OS® Security Server RACF® コマンド言語解説書」にあります。
PERMIT CSF* CLASS(CSFSERV)
ID(groupid) ACCESS(READ)
詳しくは、「Cryptographic Services ICSF 管理者ガイド」を参照してください。System SSL コンポーネントが使用する暗号ストリングまたは TLS 鍵共有を指定したい場合は、STDENV DD ステートメントを介して環境変数を指定するよう、必要に応じてサーバー JCL を変更してください。サンプル・サーバー・JCL・メンバー HFISRV1 には、STDENV を介して GSK_V3_CIPHER_SPECS_EXPANDED および GSK_SERVER_TLS_KEY_SHARES を指定する例が含まれています。
TLS 1.3 を使用する場合の考慮事項
クライアントと ZCC サーバー の間で通信するために TLS 1.3 の使用を構成するには、2 つの方法があります。1 つ目は、サーバー構成パラメーターで SSL_REQUIRED=TLSV1.3 および ATTLS=NO を指定することです。この方法により、サーバーは TLS 1.3 に対して独自の組み込みサポートを使用します。
この方法を使用する場合は、サーバー始動プロシージャーで GSK_V3_CIPHER_SPECS_EXPANDED および GSK_SERVER_TLS_KEY_SHARES の値を指定する必要があります。TLS V1.3 で使用できる暗号仕様および鍵共有グループについて詳しくは、https://www.ibm.com/docs/en/zos/2.4.0?topic=protocols-required-updates-enable-tls-v13-protocol-supportを参照してください。
2 つ目の方法は、サーバー構成で SSL_REQUIRED=TLSV1.3 および ATTLS=YES を指定することです。この方法により、サーバーは暗号化操作を ATTLS にオフロードします。AT-TLS の使用について詳しくは、暗号化された通信に AT-TLS を使用を参照してください。