リファレンスマニュアル

前へ次へ

PowerExchange SSLの設定手順

PowerExchangeのSSL設定を開始する前に、所属する組織で、既知のCAベンダーからローカルCA証明書を取得しておきます。組織のネットワーク内での接続や内部テストなど、内部での使用を目的として、自己署名CA証明書を代わりに生成することもできます。

このタスクで説明する手順は、セキュリティ管理者が実施するようにします。セキュリティ管理者には、セキュリティ証明書やポリシーファイルの生成および管理を可能にする、特定の権限とシステムへのアクセス権限があります。

PowerExchangeで使用するために作成するすべての証明書は、X.509標準に従って生成する必要があります。例えば、PKCS7形式はX.509標準に適合しているため、証明書の生成に使用できます。

PowerExchangeにSSLのサポートを実装するには、以下のタスクを実行します。

各z/OSサーバーを設定します。

PowerExchangeリスナのDBMOVERファイルを設定し、セキュアな接続に使用するポートを指定します。

セキュアな接続に使用するジョブ名とポートを指定するAT-TLSポリシーファイルのルールを更新します。

個人証明書を作成します。

Linux、UNIX、Windows、またはIBM iの各マシンを設定します。

CA証明書を作成します。

個人証明書を作成します。

サーバー上でDBMOVER構成ファイルをカスタマイズします。

リモートピア証明書の検証を実行する場合は、リモート証明書を発行した認証機関がローカルシステムに信頼できるCAとして存在している必要があります。

z/OSでは、AT-TLSルールによって"ServerWithClientAuth"のハンドシェイクロールが指定されている場合はリモートピア証明書の検証が実行され、AT-TLSルールによって"Server"のハンドシェイクロールが指定されている場合はリモートピア証明書の検証は実行されません。

z/OS以外のリスナでは、SSL_REQ_CLNT_CERTパラメータに従ってリモートピア証明書の検証が実行されます。

Linux、UNIX、およびWindowsクライアントでは、SSL_REQ_SRVR_CERTパラメータに従ってリモートピア証明書の検証が実行されます。

DTLREXE PINGを使用して、PowerExchangeクライアントとサーバー間のセキュアな接続を確認します。

ページをウォッチ

フィードバックを送信