Parte del proceso de validación de certificados contempla que el certificado esté firmado por una Autoridad de
certificación (CA) de confianza. Para poder hacerlo, el daemon RSE debe acceder a un certificado que identifique la CA.
Al utilizar la base de datos de clave gskkyman para su conexión SSL, debe añadirse el certificado CA a la
base de datos de clave.
Al utilizar un conjunto de claves de SAF (que es el método recomendado), debe añadir el certificado CA a su base de
datos de seguridad como un certificado CERTAUTH con el atributo TRUST o HIGHTRUST, como se muestra en este mandato RACF
de ejemplo.
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
Tenga en cuenta que la mayoría de productos de seguridad ya tienen los certificados para CA conocidas disponibles en
su base de datos con un estado NOTRUST. Utilice los siguientes mandatos RACF de ejemplo para listar los certificados CA
existentes y marcar uno como de confianza basándose en la etiqueta asignada.
RACDCERT CERTAUTH LIST
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
Una vez se añade el certificado CA a su base de datos de seguridad, debe conectarse al conjunto de claves RSE, como
se muestra en este mandato RACF de ejemplo:
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
RING(rdzssl.racf))
Consulte la publicación Security Server RACF Command Language Reference (SA22-7687) para obtener más información
sobre el mandato RACDCERT.
Atención: Si depende del daemon RSE en vez de su software de seguridad para autenticar un usuario, debe
tener cuidado de no mezclar las CA con estados TRUST y HIGHTRUST. El daemon RSE no puede distinguir entre los dos, por
lo que los certificados firmados por una CA con estado TRUST serán válidos para fines de autenticación de ID de
usuario. Vea
Autenticación por daemon RSE para obtener más información sobre cómo utilizar el
daemon RSE para el paso de autenticación.