WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Protección de la conexión a CICS Transaction Server for z/OS mediante SSL

Configure el nodo CICSRequest para comunicarse con CICS Transaction Server for z/OS a través del protocolo SSL (Secure Sockets Layer) actualizando un servicio configurable CICSConnection o el nodo CICSRequest para utilizar SSL.

Antes de empezar:
Asegúrese de que ha completado las siguientes tareas:
  1. El nodo CICSRequest no da soporte a un almacén de confianza separado, por lo que el archivo de almacén de claves debe proporcionar certificados personales y de firmantes. Si autenticación-cliente (CLIENTAUTH) está habilitada en TCPIPSERVICE de CICS, el archivo de almacén de claves de intermediario también debe contener un certificado personal en el que CICS confíe. Para configurar una infraestructura de claves públicas (PKI) en el nivel de intermediario o de grupo de ejecución, siga las instrucciones indicadas en Configuración de una infraestructura clave pública.
  2. Definir la estructura de datos COMMAREA como conjunto de mensajes, según se describe en Definición de una estructura de datos de CICS Transaction Server for z/OS.
  3. Configurar el protocolo IPIC (IP InterCommunications) en CICS, como se describe en Preparación del entorno para el nodo CICSRequest.

Para configurar el nodo CICSRequest para utilizar SSL, siga estos pasos:

  1. Para conexiones SSL autenticadas por el cliente (CLIENTAUTH), CICS espera que el certificado de cliente SSL esté correlacionado con un ID de usuario de RACF. Por consiguiente, el certificado de cliente SSL debe correlacionarse con un ID de usuario de RACF antes de intentar establecer la conexión SSL con CICS. Si el certificado de cliente no está correlacionado con un ID de usuario de RACF, el intermediario puede mostrar una respuesta ECI_ERR_NO_CICS. Puede correlacionar un certificado de cliente con un ID de usuario de RACF utilizando el mandato RACF RACDCERT, que almacena el certificado de cliente en la base de datos RACF y asocia un ID de usuario con el mismo, o utilizando el filtrado de nombres de certificado de RACF. Los certificados de cliente se pueden correlacionar de uno a uno con un ID de usuario, o se puede proporcionar una correlación de uno a otro para permitir una correlación de muchos a uno. Puede realizar esta correlación utilizando uno de los métodos siguientes:
    • Asociación de un certificado de cliente con un ID de usuario de RACF
      1. Copie el certificado que desea procesar en un archivo secuencial MVS. El archivo debe tener longitud variable, registros bloqueados (RECFM=VB) y ser accesible desde TSO.
      2. Ejecute el mandato RACDCERT en TSO utilizando la sintaxis siguiente:
        RACDCERT ADD('nombreconjuntodatos') TRUST [ ID(idusuario) ]

        Donde:

        • nombreconjuntodatos es el nombre del conjunto de datos que contiene el certificado de cliente.
        • idusuario es el ID de usuario que se va a asociar con el certificado. Este parámetro es opcional. Si se omite, el certificado se asocia con el usuario que emite el mandato RACDCERT.

        Cuando se emite el mandato RACDCERT, RACF crea un perfil en la clase DIGTCERT. Este perfil asocia el certificado con el ID de usuario. A continuación, puede utilizar el perfil para convertir un certificado en un ID de usuario sin proporcionar una contraseña. Para obtener información detallada sobre los mandatos RACF, consulte la publicación z/OS Security Server RACF Command Language Reference.

    • Filtrado de nombres de certificado de RACF
      Con el filtrado de nombres de certificado, los certificados de cliente no se almacenan en la base de datos RACF. La asociación entre uno o varios certificados y un ID de usuario de RACF se consigue mediante la definición de una regla de filtro que coincida con el nombre distinguido del propietario o emisor (CA) del certificado. Una regla de filtro de ejemplo podría ser parecida a la del ejemplo siguiente:
      RACDCERT ID(DEPT3USR) MAP SDNFILTER
      (OU=DEPT1.OU=DEPT2.O=IBM.L=LOC.SP=NY.C=US)
      Esta regla de filtro de ejemplo asociará el ID de usuario DEPT3USR con todos los certificados cuando el nombre distinguido del propietario del certificado contenga la unidad organizativa DEPT1 y DEPT2, la organización IBM®, la localidad LOC, el estado/provincia NY y el país US.
  2. Active el soporte de SSL en el intermediario estableciendo la propiedad cicsServer en el servicio configurable CICSConnection, como se muestra en el ejemplo siguiente: Este ejemplo cambia el nodo CICSRequest que se configura para utilizar el servicio configurable myCICSConnection para la instancia de CICS que se ejecuta en el puerto 56789 de mycicsregion.com. Después de ejecutar este mandato, el nodo CICSRequest se conecta a CICS a través de SSL.
    mqsichangeproperties MB8BROKER -c CICSConnection -o myCICSConnection -n 
    cicsServer -v ssl://mycicsregion.com:56789
    De forma alternativa, puede configurar la propiedad Servidor CICS directamente en el nodo CICSRequest.
A continuación: cuando haya configurado el intermediario o el nodo CICSRequest para utilizar SSL, desarrolle un flujo de mensajes que contenga un nodo CICSRequest siguiendo los pasos indicados en Desarrollo de un flujo de mensajes con un nodo CICSRequest.
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:44


Tema de tareaTema de tarea | Versión 8.0.0.5 | bc16170_