WebSphere Message Broker, Versão 8.0.0.5 Sistemas operacionais: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte as informações sobre a versão mais recente do produto em IBM Integration Bus, Versão 9.0

Protegendo a Conexão Para CICS Transaction Server para z/OS Utilizando SSL

Configure o nó de CICSRequest para se comunicar com o CICS Transaction Server para z/OS sobre o protocolo Secure Sockets Layer (SSL) atualizando um serviço configurável CICSConnection ou o nó de CICSRequest para utilizar SSL.

Antes de começar:
Assegure-se de que você tenha concluído as seguintes tarefas:
  1. O nó de CICSRequest são suporta um armazenamento confiável separado, assim o arquivo de armazenamento confiável deve fornecer tanto os certificados pessoais quanto os certificados de assinantes. Se a autenticação de cliente (CLIENTAUTH) estiver ativada no TCPIPSERVICE no CICS, o arquivo keystore do broker também deve conter um certificado pessoal que é considerado confiável pelo CICS. Para configurar uma infraestrutura da chave pública (PKI) no nível do broker ou do grupo de execução, siga as instruções em Configurando uma Infraestrutura da Chave Pública.
  2. Defina a estrutura de dados COMMAREA como um conjunto de mensagens, conforme descrito em Definindo uma Estrutura de Dados do CICS Transaction Server para z/OS.
  3. Configure o protocolo IP InterCommunications (IPIC) no CICS, como descrito em Preparando o Ambiente para o Nó CICSRequest.

Para configurar o nó CICSRequest para usar SSL, conclua as etapas a seguir:

  1. Para conexões SSL autenticadas pelo cliente (CLIENTAUTH), o CICS espera que o certificado de cliente SSL seja mapeado para um ID do usuário RACF. Portanto, o certificado de cliente SSL deve ser mapeado para um ID do usuário do RACF antes de uma tentativa de estabelecer a conexão SSL com o CICS. Se o certificado de cliente não for mapeado para um ID do usuário RACF, o broker poderá exibir uma resposta ECI_ERR_NO_CICS. É possível mapear um certificado de cliente para um ID do usuário RACF utilizando o comando do RACF, RACDCERT, que armazena o certificado de cliente no banco de dados do RACF e associa um ID do usuário a ele, ou utilizando a filtragem de nome de certificado do RACF. Os certificados de cliente podem ser mapeados um-para-um com um ID do usuário, ou pode ser fornecido um mapeamento de um para o outro para permitir um mapeamento muitos-para-um. É possível conseguir esse mapeamento por meio de um dos seguintes métodos:
    • Associando um certificado de cliente com um ID do usuário RACF
      1. Copie o certificado que deseja processar em um arquivo sequencial MVS. O arquivo deve ter comprimento variável, registros bloqueados (RECFM=VB) e deve estar acessível a partir do TSO.
      2. Execute o comando RACDCERT no TSO utilizando a seguinte sintaxe:
        RACDCERT ADD('datasetname') TRUST [ ID(userid) ]

        Em que:

        • datasetname é o nome do conjunto de dados contendo o certificado de cliente.
        • userid é o ID do usuário a ser associado com o certificado. Este parâmetro é opcional. Se for omitido, o certificado será associado ao usuário emitindo o comando RACDCERT.

        Quando você emite o comando RACDCERT, o RACF cria um perfil na classe DIGTCERT. Esse perfil associa o certificado ao ID do usuário. É possível utilizar o perfil para converter um certificado em um ID do usuário sem fornecer uma senha. Para obter os detalhes completos dos comandos do RACF, consulte Referência de Linguagem de Comandos do RACF do z/OS Security Server.

    • Filtragem de nome de certificado do RACF
      Com a filtragem de nome de certificado, os certificados de cliente são armazenados no banco de dados do RACF. A associação entre um ou mais certificados e um ID do usuário RACF é obtida por meio da definição de uma regra de filtragem que corresponde ao nome distinto do emissor ou proprietário do certificado (CA). Uma regra de filtragem de amostra pode ser semelhante ao seguinte exemplo:
      RACDCERT ID(DEPT3USR) MAP SDNFILTER
      (OU=DEPT1.OU=DEPT2.O=IBM.L=LOC.SP=NY.C=US)
      Essa regra de filtragem de amostra associaria o ID do usuário DEPT3USR a todos os certificados quando nome distinto do proprietário do certificado contivesse a unidade organizacional DEPT1 e DEPT2, a organização IBM®, a localidade LOC, o estado NY e o país US.
  2. Ative o suporte SSL no broker configurando a propriedade cicsServer no serviço configurável CICSConnection, como mostrado no exemplo a seguir. Este exemplo muda o nó de CICSRequest que está configurado para utilizar o serviço configurável myCICSConnection para a instância do CICS que está executando em mycicsregion.com na porta 56789. Depois de executar este comando, o nó de CICSRequest se conecta ao CICS sobre SSL.
    mqsichangeproperties MB8BROKER -c CICSConnection -o myCICSConnection -n 
    cicsServer -v ssl://mycicsregion.com:56789
    Alternativamente, é possível configurar a propriedade Servidor CICS diretamente no nó de CICSRequest.
A seguir: Quando você tiver configurado o broker ou o nó de CICSRequest para utilizar SSL, desenvolva um fluxo de mensagens que contenha um nó de CICSRequest seguindo as etapas em Desenvolvendo um Fluxo de Mensagens com um Nó CICSRequest.
Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última atualização:
        
        Última atualização: 2015-02-28 18:30:44


Tópico de TarefaTópico de Tarefa | Versão 8.0.0.5 | bc16170_