CWI でクライアント証明書を使用する場合は、ユーザーに個人証明書を発行するか、ユーザーのコンピューターに対してシステム証明書を発行するか、複数のソースから証明書を使用できます。
一部のアプリケーションでは、ユーザーを識別するために、クライアント プログラムからユーザーの名前で実際に発行された証明書 (個人証明書) が必要になります。CICS Web インターフェイスの場合は、ユーザーの識別に個人証明書は必要ありません。CWI
では、CICS で受け入れ可能な (以下の規則に従う) 任意の証明書をクライアント側で用意し、その証明書をユーザー ID に関連付けることができます。
クライアント証明書が使用されている場合、Enterprise Server では、そのリージョンで外部セキュリティ マネージャーが構成されているものと見なします。外部セキュリティを使用していないと、指定されたユーザー/パスワードが無効であっても証明書の登録
(CICS ユーザーへの関連付け) が許可されてしまうことに注意してください。その後にセキュリティをオンにしても、証明書はユーザーに関連付けられたままになり、そのユーザーと証明書の組み合わせについてそれ以上の検証は行われません。
登録は cascertreg ユーティリティを使用して削除できます。
証明書の受け入れ
CWI で受け入れられるクライアント証明書の条件は次のとおりです。
- 証明書の発行タイムスタンプが現在の日時よりも前で、有効期限が現在の日時よりも後でなければなりません。
- デジタル署名された文書であるため、変更されていてはなりません。
- CICS で証明書の署名を検証できるように、CICS で認識される認証局 (CA) の署名が必要です。
- CICS で認識される暗号アルゴリズムを使用して作成されている必要があります。Micro Focus では、証明書の処理に最新バージョンの OpenSSL を使用しており、一般に普及しているアルゴリズムであればすべて認識されます。
- クライアントは、証明書に関連付けられた秘密鍵を知っていなければなりません。これにより、証明書の使用を許可されたクライアント (ユーザ) であることが証明されます。実際には、ユーザーは秘密鍵を復号化するパスフレーズを入力するように求められます。一部のクライアント
ソフトウェアでは、ユーザーがオペレーティング システムにサインオンすると秘密鍵が自動的に復号化されます。それ以外の場合は、証明書を使用する前にパスフレーズを入力するように求められます。
クライアント証明書は、Verisign などの商用 CA から購入できます。また、Micro Focus の一部の製品に付属している DemoCA ユーティリティなど、各種のツールを使用して生成することもできます。