AT-TLS é um serviço fornecido
pelo z/OS Communication Server
Policy Agent (PAGENT) e pela pilha TCP/IP. O serviço AT-TLS gerencia
conexões SSL em nome de aplicativos que são executados no z/OS. Os aplicativos z/OS não ficam cientes de que
o SSL é usado na conexão com os aplicativos parceiros.
O diagrama a seguir mostra como o AT-TLS funciona. Os números no
diagrama representam as etapas que seguem o diagrama.
- A Etapa 1 representa uma conexão SSL quando o AT-TLS não é usado, que
requer que o WebSphere Message Broker e o aplicativo
parceiro sejam ambos ativados para SSL.
- O handshake SSL é gerenciado pelo AT-TLS na camada TCP.
- Os dados do aplicativo de entrada ou de saída são recebidos ou enviados
de maneira visível pelo WebSphere Message Broker. A camada TCP
valida e decriptografa dados de entrada de aplicativos parceiros ou
criptografa dados de saída para aplicativos parceiros.
- Os dados do aplicativo de entrada ou de saída são protegidos pelo SSL.
Componentes do AT-TLS
- Conjunto de chaves RACF
- O conjunto de chaves RACF contém o certificado pessoal do WebSphere Message Broker e
o certificado de assinante do aplicativo parceiro.
- Políticas do AT-TLS
- Esse arquivo contém as regras e políticas que controlam as conexões
SSL que são gerenciadas pelo AT-TLS. Essas políticas são criadas
pelo administrador da rede e são verificadas e impostas pela
camada de rede TCP da pilha TCP/IP.
- Policy Agent
- Esse componente gerencia e distribui políticas de rede, incluindo
políticas do AT-TLS, para a(s) pilha(s) TCP/IP. O agente de diretiva
também é chamado de PAGENT. Para que o AT-TLS funcione com êxito, o PAGENT deve
ser configurado corretamente e estar operacional.
- Pilha TCP/IP
- A pilha TCP/IP é o componente que implementa os serviços AT-TLS.
A camada de rede TCP é onde as conexões SSL são interceptadas, o
handshake SSL é executado e os dados são decriptografados e criptografados. A
pilha TCP/IP usa serviços RACF para validar e aceitar certificados
que são apresentados pelo aplicativo parceiro durante o handshake. O RACF recupera o certificado pessoal do WebSphere Message Broker do
conjunto de chaves.