WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

Verbindung zu CICS Transaction Server for z/OS durch SSL schützen

Konfigurieren Sie den CICSRequest-Knoten für die Kommunikation mit CICS Transaction Server for z/OS über das Protokoll Secure Sockets Layer (SSL), indem Sie einen konfigurierbaren CICSConnection-Service oder den CICSRequest-Knoten für die Verwendung von SSL einrichten.

Vorbereitungen:
Folgende Aufgaben müssen zunächst ausgeführt werden:
  1. Der CICSRequest-Knoten unterstützt keinen separaten Zertifikatsspeicher für vertrauenswürdige Zertifikate. Daher muss die Schlüsselspeicherdatei sowohl persönliche als auch Unterzeichnerzertifikate bereitstellen. Wenn in TCPIPSERVICE von CICS die Clientauthentifizierung (CLIENTAUTH) aktiviert ist, muss die Schlüsselspeicherdatei des Brokers zusätzlich ein persönliches Zertifikat enthalten, das von CICS anerkannt wird. Zur Einrichtung einer PKI-Infrastruktur auf Broker- oder Ausführungsgruppenebene befolgen Sie die Anweisungen im Abschnitt PKI-Infrastruktur konfigurieren.
  2. Definieren Sie die Datenstruktur des Kommunikationsbereichs als Nachrichtengruppe, wie im Abschnitt CICS Transaction Server for z/OS-Datenstruktur definieren beschrieben.
  3. Konfigurieren Sie das Protokoll IP InterCommunications (IPIC) unter CICS, wie im Abschnitt Umgebung für den CICSRequest-Knoten vorbereiten beschrieben.

Gehen Sie wie folgt vor, um den CICSRequest-Knoten für die Verwendung von SSL zu konfigurieren:

  1. Bei SSL-Verbindungen, die vom Client authentifiziert werden werden (CLIENTAUTH), erwartet CICS, dass das SSL-Clientzertifikat einer RACF-Benutzer-ID zugeordnet wird. Aus diesem Grund muss das SSL-Clientzertifikat einer RACF-Benutzer-ID zugeordnet werden, bevor eine SSL-Verbindung zu CICS hergestellt wird. Wenn das Clientzertifikat nicht einer RACF-Benutzer-ID zugeordnet wird, zeigt der Broker möglicherweise die Antwort ECI_ERR_NO_CICS an. Zur Zuordnung eines Clientzertifikat zu einer RACF-Benutzer-ID können Sie den RACF- Befehl RACDCERT verwenden, der das Clientzertifikat in der RACF-Datenbank speichert und ihm eine Benutzer-ID zuordnet, oder eine RACF-Zertifikatnamenfilterung. Clientzertifikate können 1:1 einer Benutzer-ID zugeordnet werden, oder es kann eine Zuordnung bereitgestellt werden, um eine n:1-Zuordnung zu ermöglichen. Sie können diese Zuordnung mit einer der folgenden Methoden erreichen:
    • Clientzertifikat einer RACF-Benutzer-ID zuordnen
      1. Kopieren Sie das Zertifikat, das Sie verarbeiten möchten, in eine sequenzielle MVS-Datei. Die Datei muss über eine variable Länge und geblockte Sätze (RECFM=VB) verfügen und von TSO zugänglich sein.
      2. Führen Sie den RACDCERT-Befehl in TSO unter Verwendung der folgenden Syntax aus:
        RACDCERT ADD('Datensatzname') TRUST [ ID(userid) ]

        Dabei gilt:

        • Datensatzname ist der Name des Datensatzes, der das Clientzertifikat enthält.
        • userid ist die Benutzer-ID, die dem Zertifikat zugeordnet werden soll. Dieser Parameter ist optional. Wird er weggelassen, wird das Zertifikat dem Benutzer zugeordnet, der den RACDCERT-Befehl ausgibt.

        Wenn Sie den RACDCERT-Befehl ausgeben, erstellt RACF ein Profil in der DIGTCERT-Klasse. Dieses Profil ordnet das Zertifikat der Benutzer-ID zu. Sie können dann mit dem Profil ein Zertifikat zu einer Benutzer-ID umsetzen, ohne ein Kennwort anzugeben. Vollständige Details zu RACF-Befehlen erhalten Sie in der z/OS Security Server RACF Command Language-Referenz.

    • RACF-Zertifikatnamenfilterung
      Bei der Zertifikatnamenfilterung werden Clientzertifikate nicht in der RACF-Datenbank gespeichert. Die Zuordnung von einem oder mehreren Zertifikaten zu einer RACF-Benutzer-ID wird erreicht, indem eine Filterregel definiert wird, die mit dem eindeutigen Namen des Zertifikatsinhabers oder Ausstellers (CA) übereinstimmt. Eine Filterregel könnte beispielsweise wie folgt aussehen:
      RACDCERT ID(DEPT3USR) MAP SDNFILTER
      (OU=DEPT1.OU=DEPT2.O=IBM.L=LOC.SP=NY.C=US)
      Diese Beispielfilterregel würde die Benutzer-ID DEPT3USR allen Zertifikaten zuordnen, wenn der eindeutige Name des Zertifikatsinhabers die Organisationseinheit DEPT1 und DEPT2, die Organisation IBM®, den Standort LOC, das Bundesland NY und das Land US enthält.
  2. Aktivieren Sie die Unterstützung für SSL im Broker mit der Eigenschaft cicsServer des konfigurierbaren Service CICSConnection, wie im folgenden Beispiel gezeigt. In diesem Beispiel wird der CICSRequest-Knoten geändert, der für die Verwendung des konfigurierbaren Service myCICSConnection für die CICS-Instanz konfiguriert ist, die an mycicsregion.com-Port 56789 ausgeführt wird. Nach der Ausführung dieses Befehls stellt der CICSRequest-Knoten die Verbindung zu CICS über SSL her.
    mqsichangeproperties MB8BROKER -c CICSConnection -o myCICSConnection -n 
    cicsServer -v ssl://mycicsregion.com:56789
    Alternativ können Sie die Eigenschaft CICS-Server auch direkt im CICSRequest-Knoten konfigurieren.
Nächster Schritt: Nachdem Sie den Broker oder den CICSRequest-Knoten für die Verwendung von SSL konfiguriert haben, müssen Sie einen Nachrichtenfluss mit einem CICSRequest-Knoten entwickeln. Anweisungen hierzu finden Sie im Abschnitt Nachrichtenfluss mit einem CICSRequest-Knoten entwickeln.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:22:23


TaskthemaTaskthema | Version 8.0.0.5 | bc16170_