CAICCI の設定 › CAICCI タスク › CAICCI 用の追加設定タスク › CCIRTARM のコピー

CCIRTARM のコピー

CCIP12 をコピーする前に、以下の点に留意してください。

• CCISSL を使用しているとき、CCIRTARM が作用するためには、クライアント証明書を要求し、認証するように CCISSL の構成が済んでいることが必要です。
• デフォルトでは、このオプションがオフになります。
• CCIRTARM は、サンプルの CA（Certificate Authority）証明書です。メインフレーム サーバの CCISSL が、サンプルのキー/証明書（cci.pem）をエンド ユーザ証明書として使用する PC クライアントを認証する際に使用されます。
• cci.pem ファイルは、CCIPC/SSL のインストール中に C:\CA_APPSW ディレクトリにコピーされます。
• このオプションを有効にした場合（CCISSL プロシージャの PARM ステートメント内または TCPSSL の PROTOCOL ステートメント内で CLAUTH=Y とするなど）、CCIRTARM は、PC クライアントからの cci.pem 証明書を認証する必要があります。

  HFS キー データベースを使用している場合は、CCIRTARM は、メインフレーム上の SSL キー データベース内に CA 証明書としてインポートされている必要があります。インポートには、gskkyman ユーティリティを使用します。

  z/OS キー データベースを使用している場合は、CCIRTARM は z/OS キー データベースに CA 証明書としてインポートされている必要があります。インポートには、Top Secret、ACF2、RACF などのセキュリティ ソフトウェアを使用します。

  注： 証明書キーのインポートおよび gskkyman ユーティリティの詳細については、IBM の「System SSL Programming Guide and Reference（SC24-5877）」を参照してください。

• CCISSLGW を使用しているとき、リモート ホスト（つまり、SSL セッションのクライアント側として機能するホスト）が接続を開始すると、リモート ホストからの証明書が CCIRTARM を使って認証されます。 CCISSLGW とそのリモート ホストは、最終的にはピアツーピアで接続されますが、SSL セッションの確立に使用されるクライアント/サーバの初期 ID は、接続要求の開始元によって決定されます。 接続はローカル ホストから開始される場合もあれば、リモート ホストから開始される場合もあるため、ローカル ホストとリモート ホストのどちらもが、SSL セッションのクライアント エンドになる可能性があります。 そのため、CCIRTARM は、SSL 経由で接続するすべてのホストに存在している必要があります。
• 制御プロシージャの PARM オプション（RMAUTH=Y）はデフォルトで有効になります。

クライアント証明書を要求および認証するように CCISSL を構成した場合、または、CCISSLGW を実行する場合は、以下の手順に従います。

CCIRTARM をコピーする方法

1. ASCII（テキスト）転送を使用し、CAW0OPTN データセットの CCIRTARM を、CCISSL または CCISSLGW が実行されるメインフレーム上の HFS ファイルにコピーします。
2. ファイルを HFS 上に ccirt.arm として保存します。 たとえば、TSO コマンド「OPUT YourdeployHLQ.CAW0OPTN(CCIRTARM) '/etc/ccirt.arm' TEXT」を発行します。
3. HFS キー データベースを使用している場合、System SSL ユーティリティ（gskkyman）を使用して、PC の ccirt.arm（CCIRTARM） を認証局証明書として、クライアント認証用に SSL キー データベースにインポートします。

   z/OS キー データベースを使用している場合、インポート処理については、セキュリティに関するソフトウェアのマニュアルを参照するか、セキュリティ管理者にご相談ください。