有谁知道如何在z / OS telnet服务器上实现SSL?
我已经尝试查看IBM站点并找到了如何使用MQ或其他软件实现ssl,但没有找到如何植入z / OS本身的信息。
对于z / OS服务器上的任何telnet连接,您应该在telnet配置数据集中具有以下内容:
BEGINVTAM
PORT 1234
DEFAULTLUS AB.0001..AB.9999 ENDDEFAULTLUS
DEFAULTAPPL TSO
ENDVTAM
TELNETPARMS
PORT 1234
ENDTELNETPARMS
简单地将PORT
更改为SECUREPORT
就足以在此连接上启用SSL / TLS。要为连接配置其他TLS参数,可以向TELNETPARMS
-section添加更多参数,或在TELNETGLOBALS
-section中为所有端口定义它们。
使用TTLSPORT
将允许在端口上使用应用程序透明TLS(AT-TLS),这需要在AT-TLS策略代理中进行额外配置(如果您的安装已经有一个正在运行)。
有关详细信息,请参阅z / OS通信服务器的“IP配置参考”和“IP配置指南”,其中包含有关配置telnet服务器的章节。
关于“开箱即用”的Telnet客户端,请确保不要混淆“telnet”和“tn3270”。像PuTTY这样的“开箱即用”的telnet客户端通常不支持3270特定的数据流 - 标准的telnet将由OMVS在z / OS中处理。 TN3270支持由名为EZBTNINI的程序处理,该程序通常通过名为TN3270的PROC运行。
TN3270会话流量可以加密,但必须告知TN3270仿真器(如BlueZone或PCOMM)在通过TTLSPORT端口与VTAM通信时使用隐式或显式TLS。
要在z / OS上对3270终端使用TLS,必须运行策略代理。假设您在TN3270 PROFILE中为端口1234提供了以下语句:
; Add secure port 1234 for TLS
TELNETPARMS
TTLSPORT 1234 ; TTLSPORT for Policy Agent & AT-TLS
CONNTYPE SECURE ; Require TLS
NOSEQUENTIALLU
ENDTELNETPARMS
BEGINVTAM
PORT 1234
DEFAULTLUS
TCP00001..TCP00030
ENDDEFAULTLUS
...other BEGINVTAM block statements
ENDVTAM
这里有一个示例pagent_TTLS.conf,可用于指定端口1234的TLS选项:
#----------------------------------------------------------------------
#--- AT-TLS policy for TN3270 --------------------------------------------
TTLSRule TN3270-Server-1234
{
LocalAddr ALL
LocalPortRange 1234
Direction Both
Priority 253
TTLSGroupActionRef gAct-TN3270
TTLSEnvironmentActionRef eAct-TN3270
TTLSConnectionActionRef cAct-TN3270
}
TTLSGroupAction gAct-TN3270
{
TTLSEnabled On
GroupUserInstance 1
}
TTLSEnvironmentAction eAct-TN3270
{
HandshakeRole Server
EnvironmentUserInstance 0
TTLSKeyringParmsRef kyRingParms
}
TTLSConnectionAction cAct-TN3270
{
HandshakeRole ServerWithClientAuth
TTLSCipherParmsRef cipher1234-BlueZone_Ciphers
TTLSConnectionAdvancedParmsRef cAdv-TN3270-1234
CtraceClearText On
Trace 1
}
TTLSConnectionAdvancedParms cAdv-TN3270-1234
{
ApplicationControlled On
SecondaryMap Off
SSLv3 On
TLSv1 On
TLSv1.1 On
TLSv1.2 On
}
TTLSKeyringParms kyRingParms
{
Keyring MackDev
}
TTLSCipherParms cipher1234-BlueZone_Ciphers
{
# Bluezone 3DES Ciphers
V3CipherSuites TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_RSA_WITH_3DES_EDE_CBC_SHA
# Bluezone AES 128
V3CipherSuites TLS_DHE_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_128_CBC_SHA
# Bluezone "Strong Only"
V3CipherSuites TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
V3CipherSuites TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
V3CipherSuites TLS_DHE_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DHE_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_256_GCM_SHA384
V3CipherSuites TLS_RSA_WITH_AES_128_GCM_SHA256
V3CipherSuites TLS_RSA_WITH_AES_256_CBC_SHA256
V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA256
V3CipherSuites TLS_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_RSA_WITH_3DES_EDE_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
V3CipherSuites TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
V3CipherSuites TLS_DHE_DSS_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_128_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
# Bluezone RC4
V3CipherSuites TLS_RSA_WITH_RC4_128_MD5
V3CipherSuites TLS_RSA_WITH_RC4_128_SHA
# Bluezone AES 256
V3CipherSuites TLS_DHE_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_RSA_WITH_AES_256_CBC_SHA
V3CipherSuites TLS_DHE_DSS_WITH_AES_256_CBC_SHA
}
#--- AT-TLS policy for TN3270 End ----------------------------------------