環境変数の設定
CWI サーバーの SSL サポートを有効にするには、次の環境変数を設定する必要があります。
- ES_CERTIFICATES_LOCATION
- HTTP サーバーとしての CICS の場合、サーバー証明書の場所に設定する必要があります。
- HTTP クライアントとしての CICS の場合、クライアント証明書の場所に設定する必要があります。
- ES_DFLT_CERTIFICATE_NAME_SERVER
- TCPIPSERVICE の CERTIFICATE 属性で名前が指定されていない場合に CICS で使用する証明書のラベルに設定する必要があります。
- ES_DFLT_CERTIFICATE_NAME_CLIENT
- WEB OPEN が次の両方に当てはまる場合に CICS で使用する証明書のラベルに設定する必要があります。
- CERTIFICATE オプションを指定していない。
- URIMAP オプションを指定していない、または指定した URIMAP に CERTIFICATE ラベルが含まれていない。
証明書のラベルは、拡張子のない証明書ファイルの名前にする必要があります。キー ファイルは、証明書の名前に _key を付加した名前 (拡張子は維持) にする必要があります。
たとえば、証明書が
srvcert.pem という名前の場合は、次のようにします。
- キー ファイルに srvcert_key.pem という名前を付けます。
- ES_DFLT_CERTIFICATE_NAME_SERVER = srvcert を設定します。
- ES_CERTIFICATES_LOCATION によりポイントされたフォルダーに次のファイルを含めます。
- srvcert.pem
- srvcert_key.pem
ESCERTPAS ユーザー出口のカスタマイズ
SSL 構成を完了するには、ESCERTPAS.CBL ユーザー出口をカスタマイズする必要もあります。
ESCERTPAS は、次の場合に呼び出されます。
- SSL 対応の TCPIPSERVICE のためにリスナーが開始された際。
- SCHEME(HTTPS) を使用するすべての WEB OPEN。
SSL リスナーの開始時、
ESCERTPAS は次を返す必要があります。
- 使用されるサーバー証明書のキー ファイルのパスフレーズ。
- この接続を使用する可能性があるクライアント証明書への署名に使用した信頼済み CA ルート証明書を含む完全修飾 CA ルート証明書ファイル (TCPIPSERVICE で CLIENTAUTH が指定されている場合にのみ必要)。
クライアント認証が必要な WEB OPEN では、ESCERTPAS は次を返す必要があります。
- 使用されるクライアント証明書のキー ファイルのパスフレーズ。
- この接続用のサーバー証明書への署名に使用した信頼済み CA ルート証明書を含む完全修飾 CA ルート証明書ファイル。
クライアント認証が不要な
WEB OPEN では、
ESCERTPAS は次のみを返す必要があります。
- この接続用のサーバー証明書への署名に使用した信頼済み CA ルート証明書を含む完全修飾 CA ルート証明書ファイル。
ESCERTPAS.CBL の完全な例は、%ProgramFiles(x86)%\Micro Focus\Enterprise Developer\src\enterpriseserver\exits(Windows) または $COBDIR\copylib(UNIX) に用意されています。
注: 用意されている例では、キー ファイルのパスワードがプレーン テキスト形式になっています。これは推奨されません。出口ではパスワードを安全に取得する必要があります。
サーバー証明書への署名に使用したクライアント証明書および CA ルート証明書は、HTTPS URL を使用して TCPIPSERVICE ポートにアクセスする際に使用できるように、ブラウザーに追加する必要があります。
注: 新しくコンパイルした ESCERTPAS によって、製品に付属しているものを置き換える必要があります。CICS を Web クライアントとして使用している場合は、クライアント マシンでも同様に置き換える必要があります。