TLS安全通信

系统要求
IBM i 71 Technology Refresh 6 (TR6) 中包含 System SSL TLSv12
功能。为了支持和使用新协议，还需要用到 *** 作系统多个领域的程序临时补丁 (PTF)。在系统中安装 DCM（5770SS1 选项 34）之后，请求并应用
SI48659 就可以获得所有支持 PTF。SI48659 会拉取超过二十个 PTF，作为 PTF 先决条件。请保证应用产品和选项分发需要的 PTF
有效的在系统上安装。
系统值更改
应用 SI48659 之后，就安装了新支持，但新支持在 System SSL 中处于休眠状态。必须通过 Change System Value
(CHGSYSVAL) 来更改 QSSLPCL 系统值，为 System SSL 激活新协议。将 OPSYS 的默认值更改为：
TLSV12
TLSV11
TLSV1
SSLV3
如果 QSSLPCL 被设置为 OPSYS 以外的值，请为现有设置添加 TLSV12 和 TLSV11。
图 1 更改系统值
除了 Change System Value (CHGSYSVAL) CL 命令之外，还可以使用 Navigator for i 来处理 QSSLPCL
值。Navigator for i 目前正处于另外一个发布周期，通过此接口结构支持 TLSv12 的增强将在 2013 年夏季过后推出。通过
CHGSYSVAL 支持此新协议时，在 Navigator for i 中将暂时无法看到此配置，直至该更新可用为止。
修改 QSSLPCL 系统值之后，系统就可以开始使用新协议。任何应用程序都不能自动使用新支持，必须为各应用程序启用支持。
回页首
应用程序支持
DCM
IBM i 提供的许多应用程序都使用应用程序定义来配置应用程序的证书信息。目前，通过利用
DCM，管理员可以为应用程序定义指定证书。应用程序定义中的其他字段确定了是否使用客户端身份验证，以及允许使用哪些认证中心 (CA)。这种现有 DCM
配置接口已经过增强，应用程序定义中包含一些新字段。
新字段之一用于控制应用程序支持哪些协议。您必须对此字段进行更改，使之包含 TLSv12，从而为该应用程序激活此协议。此字段的默认设置是
PGM，允许应用程序的代码和现有配置确定要使用哪种协议。最初的时候，使用 PGM 设置的应用程序无法使用
TLSv12，但随着版本的发展，这种情况会有所转变。
这种新型的应用程序级支持协议和密码套件控制也有一些缺点。现在，管理员可以为 IBM 应用程序配置比过去更弱的安全性属性。
IBM i 信息中心 包含有关可更改的应用程序定义字段的更多信息。
某些应用程序不允许修改某一个或某几个新字段。如果应用程序禁止更改，DCM 面板将会显示一条 4022 错误。IBM >