社内で使用する内部証明書については、RACF® を認証局 (CA) として使用できます。
ブローカーの証明書を生成するには、以下の手順を実行します。
- RACF CA の署名者証明書を作成します。 この自己署名証明書は、RACF で作成または要求された他の個人証明書に署名するのに使用されます。 この手順は、1 回だけ実行する必要があります。
- RACF CA の署名者証明書を CERTDER 形式でエクスポートします。 この証明書は、秘密鍵なしで抽出する必要があります。CERTDER は、秘密鍵をエクスポートしないという動作を確実に実行できるバイナリー形式です。
- ブローカーの個人証明書を作成します。 この証明書と秘密鍵のコピーが、将来の再発行や検証に備えて RACF で維持されます。 この証明書には、ブローカーのユーザー ID を関連付ける必要があります。 SSL を有効にするブローカーごと、または実行グループごとに、個人証明書を作成します。
- ブローカーの個人証明書を PKCS12DER 形式でエクスポートします。 PKCS12DER は、ブローカーの証明書とその秘密鍵を格納するためのパスワード保護機能付きのバイナリー形式です。 その形式をブローカーの鍵ストアにインポートすることになります。ブローカーの鍵ストアとトラストストアの作成と初期化 (z/OS)を参照してください。
各手順のコマンド例を以下に示します。
- RACF CA の署名者証明書を作成します。 以下に例を示します。
RACDCERT CERTAUTH GENCERT +
SUBJECTSDN(CN('RACF Cert Authority') T('PROD') +
OU('RACF Group') +
O('IBM') +
L('HURSLEY') SP('WINCHESTER') C('GB')) +
KEYUSAGE(CERTSIGN) +
WITHLABEL('RACFCA') +
NOTAFTER(DATE(2020/01/30)) +
SIZE(1024)
- RACFCA の証明書を CERTDER 形式でエクスポートします。 以下に例を示します。
RACDCERT CERTAUTH EXPORT(LABEL('RACFCA')) +
DSN('CSQP.CSQPBRK.CACERT.DER') FORMAT(CERTDER)
OPUT 'CSQP.CSQPBRK.CACERT.DER' +
'/u/CSQPBRK/ssl/csqpbrk.ca.der' +
BINARY CONVERT(NO)
OPUT コマンドは、オプションです。 これは、FTP で別のサーバーに転送する前に証明書を HFS ファイルにコピーするために使用します。
- ブローカーの個人証明書を作成します。 以下に例を示します。
RACDCERT ID(CSQPBRK) +
GENCERT SUBJECTSDN(CN('BROKER.HTTP.CSQPBRK') T('PROD') +
OU('ISSW') O('IBM') +
L('HURSLEY') SP('WINCHESTER') C('GB')) +
WITHLABEL('CSQPBRKCERT') SIZE(1024) +
SIGNWITH(CERTAUTH LABEL('RACFCA')) +
KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN) +
NOTAFTER(DATE(2020/01/30))
- ブローカーの証明書を PKCS12 形式でエクスポートします。 以下に例を示します。
RACDCERT ID(CSQPBRK) EXPORT(LABEL('CSQPBRKCERT')) +
DSN('CSQP.CSQPBRK.PERSCERT.P12') +
FORMAT(PKCS12DER) PASSWORD('changeit')
OPUT 'CSQP.CSQPBRK.PERSCERT.P12' +
'/u/CSQPBRK/ssl/csqpbrk.pers.p12' +
BINARY CONVERT(NO)