CAICCI の設定 › CAICCI タスク › CAICCI 用の追加設定タスク › CCISSLGW のコピー

CCISSLGW のコピー

CCISSLGW には、CAS9PDPM モジュールを実行するための JCL カタログ式プロシージャが含まれています。

CCISSLGW をコピーする方法

1. メンバ CCISSLGW を CAW0PROC データセットから、CCISSLGW が実行されるサイト固有のユーザ proclib にコピーします。
2. CCISSLGW を編集し、以下の内容を指定します。
   • IBM ディレクトリおよび CA ディレクトリに対するデータセットの命名規則。
   • キー データベース（キーリング）の場所と、秘匿保管されているパスワード ファイルの場所。
   • 各種のパラメータ オプション（PARM=）。

     PORT=&PORT,TCP=&TCP,US=&UNSECON,RMAUTH=&RMAUTH,CERT=&CERT,
     KEYRING=&KEYRING,SV=&SSLVERS,CI=&CIPHERS,SSLT=&SSLTRCFN,SSLD=&SSLDUMP,CBDLL=&CBDLL'
     

     説明

     「PORT=」は待機ポート（デフォルト： 1202）を示します。

     「TCP=」は、CCISSLGW が使用する単一の TCP/IP プロトコル スタック名を示します。 デフォルトでは、すべてのアクティブな TCP/IP スタック名になっています。

     「UNSECON=」では、以下のいずれかを指定します。

     • NEVER（デフォルト）： リモート CAICCI が SSL に対応せず、有効になっていなければ、接続は拒否されます。
     • ALLOW： リモート CAICCI が SSL 接続に対応し、かつ必要としている場合以外は、接続はセキュリティ保護されません。
     • NONSSL： リモート CAICCI が SSL をサポートしない場合は、セキュリティ保護されない接続が可能です。 リモート CAICCI で SSL がサポートされ、かつ有効化されている場合、接続はセキュリティ保護されます。
     • ONLY： セキュリティ保護されていない接続だけが許可されます。 リモート CAICCI が SSL をサポートし、かつ必要としている場合、接続は拒否されます。 このオプションは、このゲートウェイ サーバの SSL サポートを無効にします （CCITCPGW は恒久的にこの値に設定された CCISSLGW です）。

     「RMAUTH=」では、以下のいずれかを指定します。

     • N： リモート証明書を認証しません。
     • （デフォルト）： リモート証明書を認証します。
     • Pass： リモート証明書は認証されませんが、ユーザ EXIT の検証用にはやはり必要です。

     「CERT=」はサーバ証明書のラベル名を示します。

     • '*'： ラベルが「CCIGW」である証明書が使用されます。 見つからない場合は、ラベルが CAICCI Sysid に対してローカルな証明書が使用されます。 見つからない場合は、ラベルが「CCI」である証明書が使用されます。
     • 'label'： 名前が label である証明書が使用されます。
     • 何も指定しなかった場合： SystemSSL デフォルト証明書が使用されます。

     注： 証明書のラベル名に空白を含めることはできません。

     「KEYRING= 」は、（HFS キー データベースの代わりに使用される）外部のセキュリティ キーリングの名前を示します。

     「SSLVERS= 」は、CCISSLGW が SSL サービスを要求するときに使用する System SSL のバージョンを指定します。

     • 1： バージョン 1（OS/390 バージョン）
     • 2：バージョン 2（z/OS 1.2 バージョン）
     • 何も指定しない： 利用可能な最上位バージョン（デフォルト）

     「PROT=」は、セキュリティ プロトコルの有効化される必要のあるものを示します。

     • SSL： SSL バージョン 3 のみ（デフォルト）
     • TLS： TLS バージョン 1 のみ
     • SSL/TLS、TLS/SSL、S/T、T/S、BOTH： SSL バージョン 3 および TLS バージョン 1 の両方が有効化されます。

     「CIPHERS= 」は、XXYYZZ... の形式で CAICCI パケットの暗号化に使用する 1 つまたは複数の SSL（バージョン 3）の暗号を優先度順に指定します。

     • '01'： NULL MD5
     • '02'： NULL SHA
     • '03'： RC4 MD5
     • '04'： RC4 MD5
     • '05'： RC4 SHA
     • '06'： RC2 MD5
     • '09'： DES SHA
     • '0A'： 3DES SHA US
     • '2F'： 128-bit AES SHA US
     • '35'： 256-bit AES SHA US
     • IBM： System SSL のデフォルト リスト（0504352F0A090306020100 など）の使用
     • 3DES： 3DES を最上位とする System SSL のデフォルト リスト（0A0504352F090306020100 など）の使用（デフォルト）
     • AES128 または AES-128： 128 ビット AES を最上位とする System SSL デフォルト リスト（2F0504350A090306020100 など）の使用
     • AES、AES256、AES-256： 256 ビット AES を最上位とする System SSL デフォルト リスト（3505042F0A090306020100 など）の使用

     「SSLTRCFN= 」は、System SSL がトレース エントリを書き込むことのできる HFS ファイルの名前を示します。 （ファイル名を指定するとトレースが有効になります）。

     「SSLDUMP=」は、SSL パケットをトレース ファイル（TRCPRINT）にダンプするかどうかを指定します。

     • No（デフォルト）
     • Yes

     「CBDLL=」は、クライアント（およびサーバ）証明書を検証するためのユーザ EXIT ルーチンが格納されている DLL のモジュール名を示します。

3. システム SSL ライブラリである連結にあるライブラリ、および C と C++ のランタイム ライブラリを APF 許可します。

このプロシージャには、以下の条件を満たしたユーザ ID が割り当てられている必要があります。

• UNIX System Services セグメントが定義されていること
• キー データベースに対する読み取り/書き込み権限があること