Para criar um conjunto de chaves RACF, você deve primeiro gerar um certificado CA RACF e um
certificado pessoal para o WebSphere Message Broker, em seguida, conectar
os certificados ao conjunto de chaves.
Cada conjunto de chaves RACF
possui seu próprio nome com até 237 caracteres e é associado
a um ID do usuário. Um conjunto de chaves RACF
é conectado a um conjunto de certificados pessoais e certificados confiáveis
que são armazenados no banco de dados do RACF.
O comando do RACF RACDCERT é
usado para criar e excluir conjuntos de chaves e para conectar ou desconectar certificados
nos conjuntos de chaves. Os conjuntos de chaves RACF
também são chamados de conjuntos de chaves System Authorization Facility (SAF).
SAF é um padrão aberto para acessar serviços de segurança.
Para criar
um conjunto de chaves RACF para ser usado
pelo AT-TLS em nome do WebSphere Message Broker,
conclua as etapas a seguir.
- Gere um certificado de autoridade de certificação (CA)
do RACF.
É possível usar o RACF como um CA para gerar e assinar certificados pessoais
para seus sistemas ou aplicativos internos. Esse certificado deve
ser criado uma vez e é usado para assinar cada certificado pessoal
gerado pelo RACF.
O exemplo a seguir mostra como usar um comando do RACF para gerar um certificado de CA do RACF.
RACDCERT CERTAUTH GENCERT +
SUBJECTSDN(CN('MQRootCA') +
OU('ISSW') +
O('IBM') +
L('HURSLEY') SP('WINCHESTER') C('GB')) +
KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN CERTSIGN) +
WITHLABEL('MQRootCA') +
NOTAFTER(DATE(30/01/2020)) +
SIZE(1024)
- Gere um certificado pessoal para WebSphere Message Broker.
Esse certificado identifica uma instância específica do
WebSphere Message Broker.
Esse certificado é apresentado
ao aplicativo parceiro durante o handshake SSL. Esse certificado
deve ser associado ao ID do usuário sob o qual o
WebSphere Message Broker está sendo executado.
O exemplo a seguir
mostra como usar um comando do RACF para
gerar o certificado pessoal para um broker chamado WI02BRK que
está em execução sob o ID do usuário WI02USR.
RACDCERT ID(WI02USR) +
GENCERT SUBJECTSDN(CN('WI02BRK') +
OU('ISSW') O('IBM') +
L('HURSLEY') SP('WINCHESTER') C('GB')) +
WITHLABEL('WI02BRK') SIZE(1024) +
SIGNWITH(CERTAUTH LABEL('MQRootCA')) +
KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN) +
NOTAFTER(DATE(2012/01/30))
- Crie um conjunto de chaves RACF e
conecte os certificados ao conjunto de chaves.
O conjunto de chaves RACF deve
ser associado a um ID do usuário (neste caso, o ID do usuário do
WebSphere Message Broker). O conjunto de chaves deve
ter um nome (neste caso, o mesmo nome que o broker) e o certificado pessoal do
WebSphere Message Broker deve ser
conectado ao conjunto de chaves. O exemplo a seguir mostra como usar
um comando do RACF para criar um
conjunto de chaves e conectar o certificado pessoal do
WebSphere Message Broker.
RACDCERT ID(WI02USR) ADDRING(WI02BRK)
RACDCERT ID(WI02USR) +
CONNECT(ID(WI02USR) LABEL('WI02BRK') RING(WI02BRK))
RACDCERT ID(WI02USR) LISTRING(WI02BRK)
Para que o RACF valide um certificado do
aplicativo parceiro, você deve importar o certificado de assinante da CA que
gerou e assinou o certificado pessoal do aplicativo parceiro.
Geralmente,
esse certificado é extraído do keystore do aplicativo parceiro,
transferido para o
z/OS como um conjunto
de dados (WI02USR.VSR1BK.DER), importado para o RACF
e conectado ao conjunto de chaves RACF como
certificado de assinante (confiável).
O exemplo a seguir mostra
como usar um comando do RACF para
incluir um certificado de assinante no RACF e
conectá-lo ao conjunto de chaves RACF.
RACDCERT CERTAUTH ADD('WI02USR.VSR1BK.DER') +
WITHLABEL('VSR1BK') TRUST
RACDCERT CERTAUTH LIST(LABEL('VSR1BK')
RACDCERT ID(WI02USR) +
CONNECT(CERTAUTH LABEL('VSR1BK') RING(WI02BRK))
RACDCERT ID(WI02USR) LISTRING(WI02BRK)
Em seguida: Configure e ative
o agente de diretiva seguindo as instruções em
Configurando e Ativando o Policy Agent (PAGENT).