Usando a Segurança SSL para Conexões do Explorer

Gerenciando a segurança e certificados SSL para conexões entre sistemas CICS Explorer e CICS.

As conexões entre os sistemas CICS Explorer e CICS são protegidas usando o protocolo SSL. Por padrão, o gerenciamento de certificado é ativado para o CICS Explorer.

Nota: O Java™ 7 inclui segurança aumentada, portanto, o CICS Explorer agora conecta-se apenas aos serviços TCP/IP configurados com criptografia STRONG. O CICS usa criptografia AVANÇADA por padrão. O nível MÉDIO de criptografia que é oferecido pelo CICS não é mais compatível. Se tentar conectar o CICS Explorer v5.1, ou posterior, a uma região do CICS com nível MÉDIO de criptografia, você obterá os seguintes erros:

No Explorer:

IZE0106E Falha de conexão com o erro "javax.net.ssl.SSLHandshakeException: Alerta fatal recebido: handshake_failure (SYSA CMCI SECURE)"

No log da tarefa:

DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Código de retorno 402 recebido da função 'gsk_secure_socket_init' do SSL do Sistema. Motivo: Nenhuma cifra comum negociada. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

É possível usar o diálogo Segurança e gerenciamento de certificado para ativar ou desativar o SSL e para definir keystores para seus certificados.

O diálogo segurança e gerenciamento de certificado

É possível usar a janela Segurança e gerenciamento de certificado para definir um keystore e um armazenamento confiável. Um keystore é um arquivo criptografado que contém o certificado que seu sistema apresenta para outro sistema para descrever a si mesmo. Um armazenamento confiável é um tipo de keystore que contém os certificados SSL que são usados para controlar a autenticação de conexão para servidores. O armazenamento confiável pode ser mantido em um local central. O diálogo também contém alguns parâmetros opcionais que fornecem controle explícito de alguns dos protocolos que são usados durante a negociação de conexão. Pergunte ao administrador da rede para obter informações sobre os keystores em sua organização.

O CICS Explorer fornece um keystore padrão na área de trabalho do usuário que pode servir como um armazenamento confiável e um keystore. O passphrase padrão para o armazenamento confiável é changeit

Nota: Deixe o protocolo de soquete seguro configurado como default, a menos que seja instruído por seu administrador da rede. Quando configurado como default, o CICS Explorer negocia automaticamente a conexão mais segura com o servidor.

Para obter mais informações, consulte Gerenciando a segurança e os certificados SSL

O diálogo Incluir Conexão de Interface de Gerenciamento CICS contém uma caixa de seleção para selecionar segurança SSL para a conexão.

Diálogo Incluir Conexão de Interface de Gerenciamento CICS

Nota: Ao tentar conectar-se, você pode receber a mensagem IZE0106E Falha na conexão com o erro "Fim de arquivo inesperado do servidor", mesmo quando a opção Conexão segura (SSL) for configurada corretamente. Esta exceção também se aplicará se a porta não estiver em uso no servidor. Por motivos de segurança, a porta SSL não responde com o motivo da falha da conexão, para negar informações úteis a um usuário não autorizado.

Quando uma conexão é estabelecida, o CICS Explorer verifica se as configurações de SSL são as mesmas. Se, por exemplo, você não marcar a caixa de seleção Conexão segura (SSL) e o servidor esperar SSL, a conexão falhará. Na primeira tentativa de estabelecer essa conexão, o CICS Explorer mostra uma mensagem que indica a incompatibilidade e dá a você uma oportunidade de tentar a conexão com o SSL ativado.

Uma captura de tela do diálogo de mensagens que mostra que a conexão falhou porque a seleção de SSL não correspondia em cada extremidade da conexão.

O diálogo Ambiguidade é mostrado apenas para conexões existentes/antigas, onde a configuração de SSL não foi confirmada por uma versão anterior do CICS Explorer, como um upgrade ou uma importação do Explorer (não carregado).

Se você conectar a um servidor pela primeira vez, o CICS Explorer solicita que você aceite o certificado se ele não existir nos keystores.

Alerta de certificado

Leia com atenção as informações no certificado e certifique-se de que esta conexão seja com o servidor esperado e que a conexão seja válida. Se você clicar em OK, o certificado será aceito e armazenado no keystore. Ele é, então, usado em cada tentativa subsequente para conectar a este servidor. Não é solicitado que você verifique novamente o certificado.

É possível gerenciar os certificados em seu keystore com o utilitário iKeyman. Este utilitário é fornecido como parte do pacote do IBM Java Security Socket Extension.