Execute as seguintes etapas para permitir logons usando certificados X.509. Essa configuração de amostra
usa RACF para armazenar os certificados.
Observe que as etapas de RACF devem ser executadas por um administrador de segurança.
- Defina as permissões relacionadas ao certificado inicial para permitir que o ID do usuário do RSE,
STCRSE, tenha acesso ao conjunto de chaves de RACF.
RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) +
ID(stcrse)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) +
ID(stcrse)
SETROPTS RACLIST(FACILITY) REFRESH
- Crie um certificado autoassinado, com rótulo rdzrse, para identificar o host do RSE (daemon e servidor) para o cliente.
RACDCERT ID(stcrse) GENCERT SUBJECTSDN(CN('rdz rse ssl') +
OU('rdz') O('IBM') L('Raleigh') SP('NC') C('US')) +
NOTAFTER(DATE(2017-05-21)) WITHLABEL('rdzrse') +
KEYUSAGE(HANDSHAKE)
- Inclua o certificado do host do RSE em um novo conjunto de chaves criado, rdzssl.racf.
Observe que se você usar um certificado de host assinado por uma Autoridade de Certificação (CA), o certificado da CA também deve ser incluído no conjunto de chaves.
RACDCERT ID(stcrse) ADDRING(rdzssl.racf)
RACDCERT ID(stcrse) CONNECT(LABEL('rdzrse') RING(rdzssl.racf) +
DEFAULT USAGE(PERSONAL))
Isso conclui a configuração do RACF para o certificado do host do RSE.
- Altere o certificado que identifica a Autoridade de Certificação (CA) usado para assinar o certificado do cliente para um certificado de CA altamente confiável.
Apesar de o status TRUST ser suficiente para validação de certificado, uma alteração para HIGHTRUST é feita, pois é usado para a parte de autenticação de certificado do processo de logon.
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
- Inclua o certificado da CA no conjunto de chaves, rdzssl.racf, de forma que esteja disponível para validar os certificados do cliente.
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
RING(rdzssl.racf))
Isso conclui a configuração do RACF para o certificado da CA.
- Defina um recurso (formato IRR.HOST.hostname) na classe
SERVAUTH para o nome do host, CDFMVS08.RALEIGH.IBM.COM, definido na extensão
HostIdMappings do certificado do cliente.
RDEFINE SERVAUTH IRR.HOST.CDFMVS08.RALEIGH.IBM.COM UACC(NONE)
- Conceda ao ID do usuário da tarefa iniciada do RSE, STCRSE, acesso a esse recurso com autoridade READ.
PERMIT IRR.HOST.CDFMVS08.RALEIGH.IBM.COM CLASS(SERVAUTH) +
ACCESS(READ) ID(stcrse)
- Ative suas mudanças para a classe SERVAUTH. Use o primeiro comando se a classe SERVAUTH ainda não estiver ativa. Use o segundo para atualizar uma configuração ativa.
SETROPTS CLASSACT(SERVAUTH) RACLIST
ou
SETROPTS RACLIST(SERVAUTH) REFRESH
Isso conclui a configuração do RACF para a extensão HostIdMappings.
- Atualize /etc/rdz/ssl.properties para que o RSE saiba como usar comunicação SSL criptografada com o cliente.
enable_ssl=true
# Daemon Properties
daemon_keydb_file=rdzssl.racf
daemon_key_label=rdzrse
# Server Properties
server_keystore_file=rdzssl.racf
server_keystore_type=JCERACFKS
Isso conclui a instalação de configuração do RSE para SSL.
- Reinicie a tarefa iniciada do RSE para começar a aceitar logons de clientes usando os certificados X.509.