使用 SSL 安全保護進行瀏覽器連線

管理 CICS Explorer® 與 CICS® 系統之間連線的 SSL 安全保護和憑證。

CICS Explorer 與 CICS 系統之間的連線會透過 SSL 通訊協定加以保護。依預設,會對 CICS Explorer 啟用憑證管理。

註: Java™ 7 包括增加的安全,所以 CICS Explorer 現在只連接至利用高度加密所配置的 TCP/IP 服務。依預設,CICS 使用高度加密。CICS 提供的一般加密層次已不相容。如果嘗試利用一般加密層次將 CICS Explorer 5.1 版或更新版本連接至 CICS 區域,將會出現下列錯誤:

在 Explorer 中:

IZE0106E Connect failed with error "javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure (SYSA CMCI SECURE)"

在工作日誌中:

DFHSO0123 09/19/2012 10:13:22 IYCYZC2K Return code 402 received from function 'gsk_secure_socket_init' of System SSL. Reason: No common ciphers negotiated. Peer: 9.20.210.250, TCPIPSERVICE: XFHWUTCP.

您可以使用「安全和憑證管理」對話框來開啟或關閉 SSL,以及為您的憑證定義金鑰儲存庫。

安全和憑證管理對話框

您可以使用「安全和憑證管理」視窗,定義金鑰儲存庫信任儲存庫金鑰儲存庫是一種加密檔案,其中包含您的系統呈現給另一個系統以說明其本身的憑證。信任儲存庫是一種金鑰儲存庫,其中包含用來控制對伺服器之連線鑑別的 SSL 憑證。信任儲存庫可以保留在集中位置。對話框也包含部分選用參數,讓您明確控制連線協議期間所使用的部分通訊協定。請要求網路管理者提供組織中金鑰儲存庫的相關資訊。

CICS Explorer 提供使用者工作區中的預設金鑰儲存庫,可同時作為信任儲存庫和金鑰儲存庫。信任儲存庫的預設通行詞組為 changeit

註:安全 Socket 通訊協定設為 default,除非網路管理者另有指示。設為 default 時,CICS Explorer 會自動與伺服器協議最安全的連線。

如需相關資訊,請參閱管理 SSL 安全保護和憑證

新增 CICS 管理介面連線對話框包含一個勾選框,以選取連線的 SSL 安全保護。

「新增 CICS 管理介面連線」對話框

註: 當您嘗試連接時,您可能收到訊息 IZE0106E Connect failed with error "Unexpected end of file from server",即使您已正確地設定安全連線 (SSL) 也一樣。如果埠不在伺服器上使用,此異常狀況也適用。基於安全理由,SSL 埠不會回應連線失敗的原因,以拒絕未獲授權的使用者得知有用的資訊。

當您進行連線時,CICS Explorer 會檢查 SSL 設定是否相同。例如,如果您未選取安全連線 (SSL) 勾選框,而伺服器預期應使用 SSL,則連線將會失敗。在第一次嘗試進行此連線時,CICS Explorer 會顯示一則訊息指出此不相符的狀況,並讓您有機會嘗試啟用 SSL 來進行連線。

訊息對話框的畫面擷取,顯示連線因為連線兩端所選取的 SSL 不相符而失敗。

「語義不明確」對話框只會對現有/舊的連線顯示,因為 SSL 設定並未得到舊版 CICS Explorer 的確認,例如 Explorer 升級或匯入(非載入)。

如果您是第一次連接至伺服器,CICS Explorer 會提示您接受憑證(如果它不存在於金鑰儲存庫中)。

憑證警示

仔細閱讀憑證中的資訊,並確信此連線是連接至您預期的伺服器,而且連線有效。如果您按一下確定,則會接受憑證,並將其儲存在金鑰儲存庫中。後續每次嘗試與此伺服器連接時,都會使用此憑證。將不會再次提示您檢查憑證。

您可以使用 iKeyman 公用程式來管理金鑰儲存庫中的憑證。此公用程式隨附於 IBM Java Security Socket Extension 套件。