MF-GTW CLIv2は、IBMのSystem SSLライブラリを使用してTLS 1.2をサポートしています。
構成変数
- SSLMODE
- SYSSSL_KEYRING_FILE
- SYSSSL_KEYRING_STASH
- SYSSSL_KEYRING_PW
これらの構成変数は、環境変数として指定することも、CLIのclispb.dat構成で指定することもできます。それについて以下に説明します。
SSLMODE={disable | allow | prefer | require | verify-ca | verify-full}
Disable(無効): 非TLSポートを使用した暗号化されていない接続。
Allow(許容): 最初に非TLSポートを使用して暗号化されていない接続を試行し、次にTLSポートを使用して暗号化された接続を試行します。
prefer: 最初にTLSポートを使用して暗号化された接続を試行し、次に非TLSポートを使用して暗号化されていない接続を試行します。
require/verify-ca: TLSポートを使用した暗号化された接続。証明書チェーンを検証します。
verify-full: verify-caと似ていますが、ホスト名の検証も実行します。
各SSLMODEの詳細については、TLSを使用して接続を保護する方法を参照してください。
- SYSSSL_KEYRING_FILE: 鍵データベース ファイルのファイル名
- SYSSSL_KEYRING_STASH: 鍵データベースのパスワードstashファイルの名前
- SYSSSL_KEYRING_PW: 鍵データベース ファイルのパスワード
- SAF鍵リング
- 鍵データベース ファイル
- PKCS#11トークン
- SYSSSL_KEYRING_FILE: 鍵データベース ファイルのファイル名
- SYSSSL_KEYRING_STASH: 鍵データベースのパスワードstashファイルの名前
- SYSSSL_KEYRING_PW: 鍵データベース ファイルのパスワード
- SYSSSL_KEYRING_FILE and SYSSSL_KEYRING_STASH
- SYSSSL_KEYRING_FILE and SYSSSL_KEYRING_PW
ただし、セキュリティ上の理由からSYSSSL_KEYRING_STASHを推奨します。
SAF鍵リングまたはPKCS#11トークンを使用する場合、SYSSSL_KEYRING_FILEを指定するだけで十分であり、 SYSSSL_KEYRING_STASHおよびSYSSSL_KEYRING_PWは不要です。
- システムのSITE鍵リングに追加された自己署名証明書
- SYSSSL_KEYRING_FILE=*SITE*/*
- システムのCERTAUTH鍵リングに認証局チェーンが追加されている署名付き証明書
- SYSSSL_KEYRING_FILE=*AUTH*/*
- ユーザーの鍵リングに追加された証明書(適宜置き換える)
- SYSSSL_KEYRING_FILE=<keyring_user>/<keyring_name>
- SYSSSL_KEYRING_FILE=*TOKEN*/<tokenname>
通常、バンドル証明書(サーバー証明書 + 中間CA証明書 + ルートCA証明書)は、次のようにサーバーにインストールされています。/opt/teradata/tdat/tgtw/site/tls/certs/gtwcert.pem
-----BEGIN CERTIFICATE----- <server certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <intermediate CA certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <root CA certificate> -----END CERTIFICATE-----
TLS構成の詳細を環境変数として指定する
これらの環境変数はJCLまたはclispb.datで指定できます。環境変数がJCLとclispb.datの両方で指定されている場合、JCLでの値がclispb.datでの値よりも優先されます。
JCLでの例:
//ENVFILE DD * SSLMODE=verify-full SYSSSL_KEYRING_FILE=/home/myuserid/sample.kdb SYSSSL_KEYRING_STASH=/home/myuserid/sample.sth /* //CEEOPTS DD * ENVAR("_CEE_ENVFILE_S=DD:ENVFILE") /*
clispb.datでの例:
SSLMODE=verify-full SYSSSL_KEYRING_FILE=/home/myuserid/sample.kdb SYSSSL_KEYRING_STASH=/home/myuserid/sample.sth