TLS 1.2 Support | IBM z/OS Mainframe Support| CLIv2 - TLS 1.2のサポート - Call-Level Interface Version 2

Teradata® Call-Level Interfaceバージョン2 リファレンス - ワークステーション接続システム - 17.20
Product
Call-Level Interface Version 2
Release Number
17.20
Published
2022年10月10日
Language
日本語
Last Update
2022-11-21
dita:mapPath
ja-JP/zws1641280432166.ditamap
dita:ditavalPath
ja-JP/obe1474387269547.ditaval
dita:id
B035-2418
Product Category
Teradata Tools and Utilities

MF-GTW CLIv2は、IBMのSystem SSLライブラリを使用してTLS 1.2をサポートしています。

構成変数

TLS 1.2機能を利用するには、以下の変数の1つまたは複数をCLIで指定します。
  • SSLMODE
  • SYSSSL_KEYRING_FILE
  • SYSSSL_KEYRING_STASH
  • SYSSSL_KEYRING_PW

これらの構成変数は、環境変数として指定することも、CLIのclispb.dat構成で指定することもできます。それについて以下に説明します。

SSLMODE={disable | allow | prefer | require | verify-ca | verify-full}

Disable(無効): 非TLSポートを使用した暗号化されていない接続。

Allow(許容): 最初に非TLSポートを使用して暗号化されていない接続を試行し、次にTLSポートを使用して暗号化された接続を試行します。

prefer: 最初にTLSポートを使用して暗号化された接続を試行し、次に非TLSポートを使用して暗号化されていない接続を試行します。

require/verify-ca: TLSポートを使用した暗号化された接続。証明書チェーンを検証します。

verify-full: verify-caと似ていますが、ホスト名の検証も実行します。

各SSLMODEの詳細については、TLSを使用して接続を保護する方法を参照してください。

System SSLはデフォルトで証明書チェーンを検証するため、SSLMODE=requireとSSLMODE=verify-caに違いはありません。
次の環境変数は、パスワード付きの鍵データベース ファイルを指定するために使用されます。
  • SYSSSL_KEYRING_FILE: 鍵データベース ファイルのファイル名
  • SYSSSL_KEYRING_STASH: 鍵データベースのパスワードstashファイルの名前
  • SYSSSL_KEYRING_PW: 鍵データベース ファイルのパスワード
メインフレーム クライアントは、次の証明書ストア タイプを介して保存された証明書にアクセスできます。
  • SAF鍵リング
  • 鍵データベース ファイル
  • PKCS#11トークン
以下の構成変数は、メインフレーム クライアントの証明書ストアの詳細を指定するために使用されます。
  • SYSSSL_KEYRING_FILE: 鍵データベース ファイルのファイル名
  • SYSSSL_KEYRING_STASH: 鍵データベースのパスワードstashファイルの名前
  • SYSSSL_KEYRING_PW: 鍵データベース ファイルのパスワード
次の2つの方法のいずれかを指定できます。
  • SYSSSL_KEYRING_FILE and SYSSSL_KEYRING_STASH
  • SYSSSL_KEYRING_FILE and SYSSSL_KEYRING_PW

ただし、セキュリティ上の理由からSYSSSL_KEYRING_STASHを推奨します。

SAF鍵リングまたはPKCS#11トークンを使用する場合、SYSSSL_KEYRING_FILEを指定するだけで十分であり、 SYSSSL_KEYRING_STASHおよびSYSSSL_KEYRING_PWは不要です。

SAF鍵リングは、次のいずれかのメカニズムを使用して指定できます。
  • システムのSITE鍵リングに追加された自己署名証明書
    • SYSSSL_KEYRING_FILE=*SITE*/*
  • システムのCERTAUTH鍵リングに認証局チェーンが追加されている署名付き証明書
    • SYSSSL_KEYRING_FILE=*AUTH*/*
  • ユーザーの鍵リングに追加された証明書(適宜置き換える)
    • SYSSSL_KEYRING_FILE=<keyring_user>/<keyring_name>
PKCS#11トークンは、次のメカニズムを使用して指定できます(適宜置き換える)。
  • SYSSSL_KEYRING_FILE=*TOKEN*/<tokenname>
鍵データベース ファイルには、Teradata Databaseサーバーにインストールされているサーバー証明書を検証するためのルートCA証明書が入っています。

通常、バンドル証明書(サーバー証明書 + 中間CA証明書 + ルートCA証明書)は、次のようにサーバーにインストールされています。/opt/teradata/tdat/tgtw/site/tls/certs/gtwcert.pem

-----BEGIN CERTIFICATE-----
<server certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<intermediate CA certificate>
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
<root CA certificate>
-----END CERTIFICATE-----

TLS構成の詳細を環境変数として指定する

これらの環境変数はJCLまたはclispb.datで指定できます。環境変数がJCLとclispb.datの両方で指定されている場合、JCLでの値がclispb.datでの値よりも優先されます。

JCLでの例:

//ENVFILE DD *
SSLMODE=verify-full
SYSSSL_KEYRING_FILE=/home/myuserid/sample.kdb
SYSSSL_KEYRING_STASH=/home/myuserid/sample.sth
/*
//CEEOPTS DD *
ENVAR("_CEE_ENVFILE_S=DD:ENVFILE")
/*

clispb.datでの例:

SSLMODE=verify-full
SYSSSL_KEYRING_FILE=/home/myuserid/sample.kdb
SYSSSL_KEYRING_STASH=/home/myuserid/sample.sth
詳細については、メインフレームのTLS接続に関する補足およびz/OSでサンプル鍵データベース ファイルを作成するを参照してください。