支持 X.509 证书登录的样本设置

执行以下步骤以允许使用 X.509 证书进行登录。此样本设置使用 RACF 来存储证书。注意,RACF 步骤必须由安全性管理员执行。
  1. 定义初始证书相关许可以允许 RSE 用户标识 STCRSE 访问其 RACF 密钥环。
    RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
    RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    SETROPTS RACLIST(FACILITY) REFRESH
  2. 使用标签 rdzrse 创建自签名证书,以向客户机标识 RSE 主机(守护程序和服务器)。
    RACDCERT ID(stcrse) GENCERT SUBJECTSDN(CN('rdz rse ssl') +
      OU('rdz') O('IBM') L('Raleigh') SP('NC') C('US')) +
      NOTAFTER(DATE(2017-05-21)) WITHLABEL('rdzrse') +
      KEYUSAGE(HANDSHAKE)
  3. 将 RSE 主机证书添加至新创建的密钥环 rdzssl.racf。注意,如果使用由认证中心(CA)签署的主机证书,那么还必须将 CA 证书添加至密钥环。
    RACDCERT ID(stcrse) ADDRING(rdzssl.racf)
    RACDCERT ID(stcrse) CONNECT(LABEL('rdzrse') RING(rdzssl.racf) +
      DEFAULT USAGE(PERSONAL))

    此代码将生成 RSE 主机证书的 RACF 设置。

  4. 将标识用于签署客户机证书的认证中心(CA)的证书更改为高度可信 CA 证书。尽管 TRUST 状态对于证书验证而言已经足够,但还是更改为 HIGHTRUST,原因是它将用于登录过程的证书认证部分。
    RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
  5. 将 CA 证书添加至密钥环 rdzssl.racf,以便它可用于验证客户机证书。
    RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
      RING(rdzssl.racf))

    此代码将生成 CA 证书的 RACF 设置。

  6. 在客户机证书 HostIdMappings 扩展中定义的主机名 CDFMVS08.RALEIGH.IBM.COMSERVAUTH 类中定义资源(格式为 IRR.HOST.hostname)。
    RDEFINE SERVAUTH  IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  UACC(NONE)
  7. 向 RSE 启动的任务用户标识 STCRSE 授予对此资源的访问权(READ 权限)。
    PERMIT IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  CLASS(SERVAUTH) +
      ACCESS(READ) ID(stcrse)
  8. 激活对 SERVAUTH 类的更改。如果 SERVAUTH 类尚未处于活动状态,请使用第一个命令。使用第二个命令来刷新活动设置。
    SETROPTS CLASSACT(SERVAUTH) RACLIST
    或者
    SETROPTS RACLIST(SERVAUTH) REFRESH

    此代码将生成 HostIdMappings 扩展的 RACF 设置。

  9. 更新 /etc/rdz/ssl.properties,以便 RSE 知道使用 SSL 与客户机进行加密通信。
    enable_ssl=true
    
    # Daemon Properties
    daemon_keydb_file=rdzssl.racf
    daemon_key_label=rdzrse
    
    # Server Properties
    server_keystore_file=rdzssl.racf
    server_keystore_type=JCERACFKS

    此代码将生成 SSL 的 RSE 配置设置。

  10. 重新启动 RSE 启动的任务以开始接受使用 X.509 证书进行客户机登录。