Wenn Sie einen RACF-Schlüsselring erstellen möchten, müssen Sie zunächst ein RACF-Zertifizierungsstellenzertifikat und ein persönliches Zertifikat für WebSphere Message
Broker erstellen und anschließend die Zertifikate mit dem Schlüsselring verbinden.
Jeder RACF-Schlüsselring verfügt über einen eigenen Namen mit einer Länge von bis zu 237 Zeichen und ist einer Benutzer-ID zugeordnet. Ein RACF-Schlüsselring ist mit einer Gruppe persönlicher Zertifikate und vertrauenswürdiger Zertifikate verbunden, die in der RACF-Datenbank gespeichert sind.
Mit dem RACF-Befehl RACDCERT werden Schlüsselringe erstellt und gelöscht und Zertifikate mit den Schlüsselringen verbunden bzw. von diesen getrennt. RACF-Schlüsselringe werden auch als SAF-Schlüsselringe (SAF = System Authorization Facility) bezeichnet.
System Authorization Facility ist ein offener Standard für den Zugriff auf Sicherheitsservices.
Wenn Sie einen RACF-Schlüsselring erstellen möchten, der von AT-TLS für WebSphere Message
Broker verwendet werden soll, führen Sie die folgenden Schritte aus.
- Erstellen Sie ein RACF-Zertifizierungsstellenzertifikat.
Sie können RACF als Zertifizierungsstelle zur Erstellung und Signierung persönlicher Zertifikate für interne Systeme oder Anwendungen verwenden. Dieses Zertifikat muss einmal erstellt werden. Es wird zum Signieren aller persönlicher Zertifikate verwendet, die von RACF erstellt werden.
Das folgende Beispiel zeigt, wie mit einem RACF-Befehl ein RACF-Zertifizierungsstellenzertifikat erstellt wird.
RACDCERT CERTAUTH GENCERT +
SUBJECTSDN(CN('MQRootCA') +
OU('ISSW') +
O('IBM') +
L('HURSLEY') SP('WINCHESTER') C('GB')) +
KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN CERTSIGN) +
WITHLABEL('MQRootCA') +
NOTAFTER(DATE(2020/01/30)) +
SIZE(1024)
- Erstellen Sie ein persönliches Zertifikat für WebSphere Message
Broker.
Dieses Zertifikat gibt eine bestimmte Instanz von
WebSphere Message
Broker an.
Es wird der Partneranwendung während des SSL-Handshakes vorgelegt. Dieses Zertifikat muss der Benutzer-ID zugeordnet sein, unter der
WebSphere Message
Broker ausgeführt wird.
Das folgende Beispiel zeigt, wie mit einem RACF-Befehl das persönliche Zertifikat für einen Broker namens WI02BRK erstellt wird, der unter der Benutzer-ID WI02USR ausgeführt wird.
RACDCERT ID(WI02USR) +
GENCERT SUBJECTSDN(CN('WI02BRK') +
OU('ISSW') O('IBM') +
L('HURSLEY') SP('WINCHESTER') C('GB')) +
WITHLABEL('WI02BRK') SIZE(1024) +
SIGNWITH(CERTAUTH LABEL('MQRootCA')) +
KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN) +
NOTAFTER(DATE(2012/01/30))
- Erstellen Sie einen RACF-Schlüsselring und verbinden Sie die Zertifikate mit dem Schlüsselring.
Dem RACF-Schlüsselring muss eine Benutzer-ID zugeordnet sein (in diesem Fall die
WebSphere Message
Broker-Benutzer-ID). Der Schlüsselring muss einen Namen haben (in diesem Fall den Namen des Brokers) und das persönliche
WebSphere Message
Broker-Zertifikat muss mit dem Schlüsselring verbunden sein. Das folgende Beispiel zeigt, wie mit einem RACF-Befehl ein Schlüsselring erstellt und das persönliche
WebSphere Message
Broker-Zertifikat verbunden wird.
RACDCERT ID(WI02USR) ADDRING(WI02BRK)
RACDCERT ID(WI02USR) +
CONNECT(ID(WI02USR) LABEL('WI02BRK') RING(WI02BRK))
RACDCERT ID(WI02USR) LISTRING(WI02BRK)
Damit RACF ein Partneranwendungszertifikat überprüfen kann, müssen Sie das Unterzeichnerzertifikat der Zertifizierungsstelle importieren, von der das persönliche Zertifikat der Partneranwendung erstellt und unterzeichnet wurde.
Für gewöhnlich wird dieses Zertifikat aus dem Schlüsselspeicher der Partneranwendung extrahiert, als Datengruppe (WI02USR.VSR1BK.DER) an
z/OS übertragen, in RACF importiert und mit dem RACF-Schlüsselring als Unterzeichnerzertifikat (vertrauenswürdiges Zertifikat) verbunden.
Das folgende Beispiel zeigt, wie mit einem RACF-Befehl ein Unterzeichnerzertifikat zu RACF hinzugefügt und mit dem RACF-Schlüsselring verbunden wird.
RACDCERT CERTAUTH ADD('WI02USR.VSR1BK.DER') +
WITHLABEL('VSR1BK') TRUST
RACDCERT CERTAUTH LIST(LABEL('VSR1BK')
RACDCERT ID(WI02USR) +
CONNECT(CERTAUTH LABEL('VSR1BK') RING(WI02BRK))
RACDCERT ID(WI02USR) LISTRING(WI02BRK)
Nächster Schritt: Konfigurieren und aktivieren Sie den Richtlinienagenten mithilfe der Anweisungen im Abschnitt
Richtlinienagenten (PAGENT) konfigurieren und aktivieren.