Configure el nodo CICSRequest para comunicarse con
CICS Transaction
Server for z/OS a través del protocolo SSL (Secure
Sockets Layer) actualizando un servicio configurable CICSConnection o el nodo CICSRequest para utilizar SSL.
Antes de empezar:Asegúrese de que ha
completado las siguientes tareas:
- El nodo CICSRequest no da
soporte a un almacén de confianza separado, por lo que el archivo de
almacén de claves debe proporcionar certificados personales y de firmantes. Si autenticación-cliente (CLIENTAUTH)
está habilitada en TCPIPSERVICE de CICS, el archivo de almacén de claves de intermediario también debe contener un certificado personal en el que CICS confíe. Para configurar una infraestructura de claves públicas
(PKI) en el nivel de intermediario o de grupo de ejecución, siga las instrucciones indicadas en Configuración de una infraestructura clave pública.
- Definir la estructura de datos COMMAREA como conjunto de mensajes, según se describe
en Definición de una estructura de datos de CICS Transaction Server for z/OS.
- Configurar el protocolo IPIC (IP InterCommunications) en
CICS, como se describe en
Preparación del entorno para el nodo CICSRequest.
Para configurar el nodo
CICSRequest para utilizar SSL, siga estos pasos:
- Para conexiones SSL autenticadas por el cliente (CLIENTAUTH),
CICS espera que el certificado de cliente SSL
esté correlacionado con un ID de usuario de RACF. Por consiguiente, el
certificado de cliente SSL debe correlacionarse con un ID de usuario
de RACF antes de intentar
establecer la conexión SSL con CICS. Si
el certificado de cliente no está correlacionado con un ID de usuario
de RACF, el intermediario puede
mostrar una respuesta ECI_ERR_NO_CICS.
Puede
correlacionar un certificado de cliente con un ID de usuario de
RACF utilizando el mandato
RACF RACDCERT,
que almacena el certificado de cliente en la base de datos
RACF y asocia un ID de
usuario con el mismo, o utilizando el filtrado de nombres de certificado de
RACF. Los certificados de cliente
se pueden correlacionar de uno a uno con un ID de usuario, o se puede
proporcionar una correlación de uno a otro para permitir una correlación
de muchos a uno. Puede realizar esta correlación utilizando uno de los
métodos siguientes:
- Asociación de un certificado de cliente con un ID de usuario de RACF
- Copie el certificado que desea procesar en un archivo secuencial
MVS. El archivo debe tener longitud
variable, registros bloqueados (RECFM=VB) y ser accesible desde TSO.
- Ejecute el mandato RACDCERT en TSO utilizando la
sintaxis siguiente:
RACDCERT ADD('nombreconjuntodatos') TRUST [ ID(idusuario) ]
Donde:
- nombreconjuntodatos es el nombre del conjunto de
datos que contiene el certificado de cliente.
- idusuario es el ID de usuario que se va a asociar
con el certificado. Este parámetro es opcional. Si se omite, el certificado se
asocia con el usuario que emite el mandato RACDCERT.
Cuando
se emite el mandato RACDCERT,
RACF crea un perfil en la clase DIGTCERT. Este
perfil asocia el certificado con el ID de usuario. A continuación, puede
utilizar el perfil para convertir un certificado en un ID de usuario sin
proporcionar una contraseña. Para obtener información detallada sobre los
mandatos RACF, consulte la
publicación z/OS Security Server
RACF Command Language Reference.
- Filtrado de nombres de certificado de RACF
Con
el filtrado de nombres de certificado, los certificados de cliente no
se almacenan en la base de datos RACF.
La
asociación entre uno o varios certificados y un ID de usuario de
RACF se consigue mediante la
definición de una regla de filtro que coincida con el nombre distinguido
del propietario o emisor (CA) del certificado. Una regla de filtro de
ejemplo podría ser parecida a la del ejemplo siguiente:
RACDCERT ID(DEPT3USR) MAP SDNFILTER
(OU=DEPT1.OU=DEPT2.O=IBM.L=LOC.SP=NY.C=US)
Esta regla de filtro
de ejemplo asociará el ID de usuario DEPT3USR con todos los certificados
cuando el nombre distinguido del propietario del certificado contenga la
unidad organizativa DEPT1 y DEPT2, la organización
IBM®, la localidad LOC, el
estado/provincia NY y el país US.
- Active el soporte de SSL en el intermediario estableciendo la propiedad cicsServer en el servicio configurable CICSConnection, como se muestra en el ejemplo siguiente: Este ejemplo cambia el nodo CICSRequest que se configura para utilizar el servicio configurable
myCICSConnection para la instancia de
CICS que se ejecuta
en el puerto 56789 de mycicsregion.com.
Después de ejecutar este mandato, el nodo CICSRequest se conecta a CICS a través de SSL.
mqsichangeproperties MB8BROKER -c CICSConnection -o myCICSConnection -n
cicsServer -v ssl://mycicsregion.com:56789
De forma alternativa, puede configurar la propiedad Servidor CICS directamente en el nodo CICSRequest.
A continuación: cuando haya configurado el intermediario o el nodo
CICSRequest para utilizar SSL, desarrolle un flujo de mensajes que contenga un nodo
CICSRequest siguiendo los pasos indicados en
Desarrollo de un flujo de mensajes con un nodo CICSRequest.