CAICCI の設定 › CAICCI タスク › CAICCI 用の追加設定タスク › CCIRTARM のコピー
CCIRTARM のコピー
CCIP12 をコピーする前に、以下の点に留意してください。
- CCISSL を使用しているとき、CCIRTARM が作用するためには、クライアント証明書を要求し、認証するように CCISSL の構成が済んでいることが必要です。
- デフォルトでは、このオプションがオフになります。
- CCIRTARM は、サンプルの CA(Certificate Authority)証明書です。メインフレーム サーバの CCISSL が、サンプルのキー/証明書(cci.pem)をエンド ユーザ証明書として使用する PC クライアントを認証する際に使用されます。
- cci.pem ファイルは、CCIPC/SSL のインストール中に C:\CA_APPSW ディレクトリにコピーされます。
- このオプションを有効にした場合(CCISSL プロシージャの PARM ステートメント内または TCPSSL の PROTOCOL ステートメント内で CLAUTH=Y とするなど)、CCIRTARM は、PC クライアントからの cci.pem 証明書を認証する必要があります。
HFS キー データベースを使用している場合は、CCIRTARM は、メインフレーム上の SSL キー データベース内に CA 証明書としてインポートされている必要があります。インポートには、gskkyman ユーティリティを使用します。
z/OS キー データベースを使用している場合は、CCIRTARM は z/OS キー データベースに CA 証明書としてインポートされている必要があります。インポートには、Top Secret、ACF2、RACF などのセキュリティ ソフトウェアを使用します。
注: 証明書キーのインポートおよび gskkyman ユーティリティの詳細については、IBM の「System SSL Programming Guide and Reference(SC24-5877)」を参照してください。
- CCISSLGW を使用しているとき、リモート ホスト(つまり、SSL セッションのクライアント側として機能するホスト)が接続を開始すると、リモート ホストからの証明書が CCIRTARM を使って認証されます。 CCISSLGW とそのリモート ホストは、最終的にはピアツーピアで接続されますが、SSL セッションの確立に使用されるクライアント/サーバの初期 ID は、接続要求の開始元によって決定されます。 接続はローカル ホストから開始される場合もあれば、リモート ホストから開始される場合もあるため、ローカル ホストとリモート ホストのどちらもが、SSL セッションのクライアント エンドになる可能性があります。 そのため、CCIRTARM は、SSL 経由で接続するすべてのホストに存在している必要があります。
- 制御プロシージャの PARM オプション(RMAUTH=Y)はデフォルトで有効になります。
クライアント証明書を要求および認証するように CCISSL を構成した場合、または、CCISSLGW を実行する場合は、以下の手順に従います。
CCIRTARM をコピーする方法
- ASCII(テキスト)転送を使用し、CAW0OPTN データセットの CCIRTARM を、CCISSL または CCISSLGW が実行されるメインフレーム上の HFS ファイルにコピーします。
- ファイルを HFS 上に ccirt.arm として保存します。 たとえば、TSO コマンド「OPUT YourdeployHLQ.CAW0OPTN(CCIRTARM) '/etc/ccirt.arm' TEXT」を発行します。
- HFS キー データベースを使用している場合、System SSL ユーティリティ(gskkyman)を使用して、PC の ccirt.arm(CCIRTARM) を認証局証明書として、クライアント認証用に SSL キー データベースにインポートします。
z/OS キー データベースを使用している場合、インポート処理については、セキュリティに関するソフトウェアのマニュアルを参照するか、セキュリティ管理者にご相談ください。