CAICCI の設定 › CAICCI タスク › CAICCI 用の追加設定タスク › CCISSL のコピー

CCISSL のコピー

CCISSL ファイルには、CAS9PDGM モジュールを実行するための JCL カタログ式プロシージャが含まれています。

CCISSL をコピーする方法

1. メンバ CCISSL を CAW0PROC データセットから、CCISSL が実行されるサイト固有のユーザ proclib にコピーします。
2. CCISSL を編集し、以下の内容を指定します。
   • IBM ディレクトリおよび CA ディレクトリに対するデータセットの命名規則
   • キー データベース（キーリング）の場所と、秘匿保管されているパスワード ファイルの場所
   • 各種のパラメータ オプション (PARM=)

     PARM 
     PORT=&PORT,US=&UNSECON,CLAUTH=&CLAUTH,CERT=&CERT,KEYRING=&KEYRING,
     SV=&SSLVERS,CI=&CIPHERS,SSLT=&SSLTRCFN,SSLD=&SSLDUMP,CBDLL=&CBDLL,
     TO=&TIMEOUT'
     

     説明

     「PORT=」は待機ポート（デフォルト： 1202）を示します。

     「TCP=」は、CCISSL が使用する単一の TCP/IP プロトコル スタック名を示します。 デフォルトでは、すべてのアクティブな TCP/IP スタック名になっています。

     「UNSECON=」では、以下のいずれかを指定します。

     • NEVER（デフォルト）： 接続しようとする CCIPC が SSL に対応せず、有効になっていなければ、接続は拒否されます。
     • ALLOW： 接続しようとする CCIPC が SSL 接続に対応し、かつ必要としている場合以外は、接続はセキュリティ保護されません。
     • NONSSL： 接続しようとする CCIPC が（バージョン 1.1.7 より前の）SSL をサポートしていない場合は、セキュリティ保護されない状態で接続が可能です。 接続しようとする CCIPC で SSL がサポートされ、かつ有効化されている場合、接続はセキュリティ保護されます。
     • ONLY： セキュリティ保護されていない接続だけが許可されます。 接続しようとする CCIPC が SSL をサポートし、かつ必要としている場合は、接続が拒否されます。このオプションは、この CCIPC サーバの SSL サポートを無効にします （CCITCP は恒久的にこの値に設定された CCISSL です）。

     「CLAUTH=」では、以下のいずれかを指定します。

     • N（デフォルト）： クライアント証明書を認証しません。
     • Y ： クライアント証明書を認証します。
     • Pass： クライアント証明書は認証されませんが、ユーザ EXIT の検証は要求されます。

     「CERT=」はサーバ証明書のラベル名を示します。

     • '*'： ラベルが「CCIPC」である証明書が使用されます。 見つからない場合は、ラベルが CAICCI Sysid に対してローカルな証明書が使用されます。 見つからない場合は、ラベルが「CAICCI」である証明書が使用されます。
     • 'label'： 名前が label である証明書が使用されます。
     • 何も指定しなかった場合： SystemSSL デフォルト証明書が使用されます。

     注： 証明書のラベル名内の埋め込みブランクはサポートされません。

     「KEYRING= 」は、（HFS キー データベースの代わりに使用される）外部のセキュリティ キーリングの名前を示します。

     「SSLVERS= 」は、CCISSL が SSL サービスを要求するときに使用する System SSL のバージョンを指定します。

     • 1： バージョン 1（OS/390 バージョン）
     • 2：バージョン 2（z/OS 1.2 バージョン）
     • 何も指定しない： 利用可能な最上位バージョン（デフォルト）

     「PROT=」は、セキュリティ プロトコルの有効化される必要のあるものを示します。

     • SSL： SSL バージョン 3 のみ（デフォルト）
     • TLS： TLS バージョン 1 のみ
     • SSL/TLS、TLS/SSL、S/T、T/S、BOTH： SSL バージョン 3 および TLS バージョン 1 の両方が有効化されます。

     「CIPHERS= 」は、XXYYZZ... の形式で CAICCI パケットの暗号化に使用する 1 つまたは複数の SSL（バージョン 3）の暗号を優先度順に指定します。

     • '01'： NULL MD5
     • '02'： NULL SHA
     • '03'： RC4 MD5
     • '04'： RC4 MD5
     • '05'： RC4 SHA
     • '06'： RC2 MD5
     • '09'： DES SHA
     • '0A'： 3DES SHA US
     • '2F'： 128-bit AES SHA US
     • '35'： 256-bit AES SHA US
     • IBM： System SSL のデフォルト リスト（0504352F0A090306020100 など）
     • 3DES： 3DES を最上位とする System SSL デフォルト リスト： 0A0504352F090306020100 など（デフォルト）
     • AES128 または AES-128： 128-bit AES を最上位とする System SSL デフォルト リスト（2F0504350A090306020100 など）
     • AES、AES256、AES-256： 256-bit AES を最上位とする System SSL デフォルト リスト（3505042F0A090306020100 など）

     「SSLTRCFN= 」は、System SSL がトレース エントリを書き込むことのできる HFS ファイルの名前を示します。 （ファイル名を指定するとトレースが有効になります）。

     「SSLDUMP=」は、SSL パケットをトレース ファイル（TRCPRINT）にダンプするかどうかを指定します。

     • No（デフォルト）
     • Yes

     「CBDLL=」は、クライアント（およびサーバ）証明書を検証するためのユーザ EXIT ルーチンが格納されている DLL のモジュール名を示します。

     TIMEOUT= CCISSL（または CCITCP） によって切断されるまでの間、接続がアイドル状態を継続する秒数を指定します。

3. システム SSL ライブラリである連結にあるライブラリ、および C と C++ のランタイム ライブラリを APF 許可します。

このプロシージャには、STEPLIB を持つユーザ ID が割り当てられている必要があります。

• UNIX System Services セグメントが定義されていること
• キー データベースに対する読み取り/書き込み権限を持つこと