AT-TLS ist ein Service, der von z/OS Communication Server
Policy Agent (PAGENT) und dem TCP/IP-Stack bereitgestellt wird. Der AT-TLS-Service verwaltet SSL-Verbindungen für Anwendungen, die unter z/OS ausgeführt werden. Die Verwendung von SSL bei der Verbindung mit Partneranwendungen ist für z/OS-Anwendungen nicht offensichtlich.
In der folgenden Abbildung ist die Funktionsweise von AT-TLS dargestellt. Die Zahlen in der Abbildung stehen für die jeweiligen Schritte.
- Schritt 1 repräsentiert eine SSL-Verbindung, wenn AT-TLS nicht verwendet wird. Dafür müssen sowohl WebSphere Message
Broker als auch die Partneranwendung für SSL aktiviert sein.
- Der SSL-Handshake wird von AT-TLS in der TCP-Schicht verwaltet.
- Eingehende oder abgehende Anwendungsdaten werden von WebSphere Message
Broker im Klartext empfangen oder gesendet. Die TCP-Schicht überprüft und entschlüsselt die von Partneranwendungen eingehenden Daten oder verschlüsselt an Partneranwendungen abgehende Daten.
- Die eingehenden oder abgehenden Anwendungsdaten werden durch SSL geschützt.
AT-TLS-Komponenten
- RACF-Schlüsselring
- Der RACF-Schlüsselring enthält das persönliche WebSphere Message
Broker-Zertifikat und das Unterzeichnerzertifikat der Partneranwendung.
- AT-TLS-Richtlinien
- Diese Datei enthält die Regeln und Richtlinien, mit denen die von AT-TLS verwalteten SSL-Verbindungen gesteuert werden. Diese Richtlinien werden vom Netzadministrator erstellt und von der TCP-Netzebene des TCP/IP-Stacks geprüft und durchgesetzt.
- Richtlinienagent
- Diese Komponente verwaltet und verteilt Netzrichtlinien, einschließlich AT-TLS-Richtlinien, an den TCP/IP-Stack bzw. an die TCP/IP-Stacks. Der Richtlinienagent wird auch als PAGENT bezeichnet. Damit AT-TLS erfolgreich funktioniert, muss PAGENT ordnungsgemäß und betriebsbereit konfiguriert sein.
- TCP/IP-Stack
- Der TCP/IP-Stack ist die Komponente, mit der die AT-TLS-Services implementiert werden.
Auf der TCP-Netzebene werden SSL-Verbindungen abgefangen, der SSL-Handshake ausgeführt und die Daten ent- und verschlüsselt. Der TCP/IP-Stack nutzt RACF-Services, um Zertifikate, die von der Partneranwendung während des Handshakes präsentiert werden, zu überprüfen und zu akzeptieren. RACF ruft das persönliche WebSphere Message
Broker-Zertifikat aus dem Schlüsselring ab.