WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

RACF-Schlüsselring erstellen

Wenn Sie einen RACF-Schlüsselring erstellen möchten, müssen Sie zunächst ein RACF-Zertifizierungsstellenzertifikat und ein persönliches Zertifikat für WebSphere Message Broker erstellen und anschließend die Zertifikate mit dem Schlüsselring verbinden.

Jeder RACF-Schlüsselring verfügt über einen eigenen Namen mit einer Länge von bis zu 237 Zeichen und ist einer Benutzer-ID zugeordnet. Ein RACF-Schlüsselring ist mit einer Gruppe persönlicher Zertifikate und vertrauenswürdiger Zertifikate verbunden, die in der RACF-Datenbank gespeichert sind. Mit dem RACF-Befehl RACDCERT werden Schlüsselringe erstellt und gelöscht und Zertifikate mit den Schlüsselringen verbunden bzw. von diesen getrennt. RACF-Schlüsselringe werden auch als SAF-Schlüsselringe (SAF = System Authorization Facility) bezeichnet. System Authorization Facility ist ein offener Standard für den Zugriff auf Sicherheitsservices.

Wenn Sie einen RACF-Schlüsselring erstellen möchten, der von AT-TLS für WebSphere Message Broker verwendet werden soll, führen Sie die folgenden Schritte aus.

  1. Erstellen Sie ein RACF-Zertifizierungsstellenzertifikat.
    Sie können RACF als Zertifizierungsstelle zur Erstellung und Signierung persönlicher Zertifikate für interne Systeme oder Anwendungen verwenden. Dieses Zertifikat muss einmal erstellt werden. Es wird zum Signieren aller persönlicher Zertifikate verwendet, die von RACF erstellt werden. Das folgende Beispiel zeigt, wie mit einem RACF-Befehl ein RACF-Zertifizierungsstellenzertifikat erstellt wird.
    RACDCERT CERTAUTH GENCERT +                          
      SUBJECTSDN(CN('MQRootCA') +                        
      OU('ISSW') +                                       
      O('IBM') +                                         
      L('HURSLEY') SP('WINCHESTER') C('GB')) +           
      KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN CERTSIGN) + 
      WITHLABEL('MQRootCA') +                            
      NOTAFTER(DATE(2020/01/30)) +                       
      SIZE(1024)
  2. Erstellen Sie ein persönliches Zertifikat für WebSphere Message Broker.
    Dieses Zertifikat gibt eine bestimmte Instanz von WebSphere Message Broker an. Es wird der Partneranwendung während des SSL-Handshakes vorgelegt. Dieses Zertifikat muss der Benutzer-ID zugeordnet sein, unter der WebSphere Message Broker ausgeführt wird. Das folgende Beispiel zeigt, wie mit einem RACF-Befehl das persönliche Zertifikat für einen Broker namens WI02BRK erstellt wird, der unter der Benutzer-ID WI02USR ausgeführt wird.
    RACDCERT ID(WI02USR) +                         
       GENCERT SUBJECTSDN(CN('WI02BRK') +          
       OU('ISSW') O('IBM') +                       
       L('HURSLEY') SP('WINCHESTER') C('GB')) +    
       WITHLABEL('WI02BRK') SIZE(1024) +           
       SIGNWITH(CERTAUTH LABEL('MQRootCA')) +      
       KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN) +   
       NOTAFTER(DATE(2012/01/30))
  3. Erstellen Sie einen RACF-Schlüsselring und verbinden Sie die Zertifikate mit dem Schlüsselring.
    Dem RACF-Schlüsselring muss eine Benutzer-ID zugeordnet sein (in diesem Fall die WebSphere Message Broker-Benutzer-ID). Der Schlüsselring muss einen Namen haben (in diesem Fall den Namen des Brokers) und das persönliche WebSphere Message Broker-Zertifikat muss mit dem Schlüsselring verbunden sein. Das folgende Beispiel zeigt, wie mit einem RACF-Befehl ein Schlüsselring erstellt und das persönliche WebSphere Message Broker-Zertifikat verbunden wird.
    RACDCERT ID(WI02USR) ADDRING(WI02BRK)                
    RACDCERT ID(WI02USR) +                               
     CONNECT(ID(WI02USR) LABEL('WI02BRK') RING(WI02BRK)) 
    RACDCERT ID(WI02USR) LISTRING(WI02BRK)
    Damit RACF ein Partneranwendungszertifikat überprüfen kann, müssen Sie das Unterzeichnerzertifikat der Zertifizierungsstelle importieren, von der das persönliche Zertifikat der Partneranwendung erstellt und unterzeichnet wurde. Für gewöhnlich wird dieses Zertifikat aus dem Schlüsselspeicher der Partneranwendung extrahiert, als Datengruppe (WI02USR.VSR1BK.DER) an z/OS übertragen, in RACF importiert und mit dem RACF-Schlüsselring als Unterzeichnerzertifikat (vertrauenswürdiges Zertifikat) verbunden. Das folgende Beispiel zeigt, wie mit einem RACF-Befehl ein Unterzeichnerzertifikat zu RACF hinzugefügt und mit dem RACF-Schlüsselring verbunden wird.
    RACDCERT CERTAUTH ADD('WI02USR.VSR1BK.DER') +   
    WITHLABEL('VSR1BK') TRUST                       
    RACDCERT CERTAUTH LIST(LABEL('VSR1BK')          
    RACDCERT ID(WI02USR) +                            
     CONNECT(CERTAUTH LABEL('VSR1BK') RING(WI02BRK))
    RACDCERT ID(WI02USR) LISTRING(WI02BRK)
Nächster Schritt: Konfigurieren und aktivieren Sie den Richtlinienagenten mithilfe der Anweisungen im Abschnitt Richtlinienagenten (PAGENT) konfigurieren und aktivieren.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:23:17


TaskthemaTaskthema | Version 8.0.0.5 | bp22790_