Sie können RACF als Zertifizierungsstelle (Certification Authority, CA) für internationale Zertifikate in Ihrem Unternehmen verwenden.
Gehen Sie zum Generieren von Brokerzertifikaten folgendermaßen vor:
- Erstellen Sie das RACF-Unterzeichnerzertifikat für die Zertifizierungsstelle. Mit diesem selbst signierten Zertifikat werden alle anderen persönlichen Zertifikate unterzeichnet, die in RACF erstellt oder angefordert wurden. Dieser Schritt ist einmal erforderlich.
- Exportieren Sie das RACF-Unterzeichnerzertifikat für die Zertifizierungsstelle im CERTDER-Format. Dieses Zertifikat muss ohne private Schlüssel extrahiert werden; bei CERTDER handelt es sich um ein Binärformat, durch das garantiert wird, dass keine privaten Schlüssel exportiert werden.
- Erstellen Sie das persönliche Zertifikat für den Broker. Eine Kopie des Zertifikats und der privaten Schlüssel wird in RACF für eine künftige erneute Ausgabe oder Prüfung gespeichert. Dieses Zertifikat muss der Brokerbenutzer-ID zugeordnet sein. Erstellen Sie ein persönliches Zertifikat für jeden Broker oder für jede Ausführungsgruppe, für den bzw. die SSL aktiviert werden soll.
- Exportieren Sie das persönliche Brokerzertifikat im PKCS12DER-Format. Bei PKCS12DER handelt es sich um ein kennwortgeschütztes Binärformat, in dem das Brokerzertifikat und die zugehörigen privaten Schlüssel enthalten sind. Sie importieren dieses Format später in den Schlüsselspeicher des Brokers (siehe Schlüsselspeicher und Truststore für den Broker (z/OS) erstellen und initialisieren).
Die Beispielbefehle für jeden Schritt lauten wie folgt:
- Erstellen Sie das RACF-Unterzeichnerzertifikat für die Zertifizierungsstelle. Beispiel:
RACDCERT CERTAUTH GENCERT +
SUBJECTSDN(CN('RACF Cert Authority') T('PROD') +
OU('RACF Group') +
O('IBM') +
L('HURSLEY') SP('WINCHESTER') C('GB')) +
KEYUSAGE(CERTSIGN) +
WITHLABEL('RACFCA') +
NOTAFTER(DATE(2020/01/30)) +
SIZE(1024)
- Exportieren des RACFCA-Zertifikats im CERTDER-Format. Beispiel:
RACDCERT CERTAUTH EXPORT(LABEL('RACFCA')) +
DSN('CSQP.CSQPBRK.CACERT.DER') FORMAT(CERTDER)
OPUT 'CSQP.CSQPBRK.CACERT.DER' +
'/u/CSQPBRK/ssl/csqpbrk.ca.der' +
BINARY CONVERT(NO)
Der OPUTBefehl ist
optional. Damit wird das Zertifikat in eine HFS-Datei kopiert, bevor es über
FTP an einen anderen Server übertragen wird.
- Erstellen des persönlichen Zertifikats für den Broker. Beispiel:
RACDCERT ID(CSQPBRK) +
GENCERT SUBJECTSDN(CN('BROKER.HTTP.CSQPBRK') T('PROD') +
OU('ISSW') O('IBM') +
L('HURSLEY') SP('WINCHESTER') C('GB')) +
WITHLABEL('CSQPBRKCERT') SIZE(1024) +
SIGNWITH(CERTAUTH LABEL('RACFCA')) +
KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN) +
NOTAFTER(DATE(2020/01/30))
- Exportieren des Brokerzertifikats im PKCS12-Format. Beispiel:
RACDCERT ID(CSQPBRK) EXPORT(LABEL('CSQPBRKCERT')) +
DSN('CSQP.CSQPBRK.PERSCERT.P12') +
FORMAT(PKCS12DER) PASSWORD('changeit')
OPUT 'CSQP.CSQPBRK.PERSCERT.P12' +
'/u/CSQPBRK/ssl/csqpbrk.pers.p12' +
BINARY CONVERT(NO)