Parte do processo de validação do certificado inclui verificar se o certificado foi assinado por uma
Autoridade de Certificação (CA) de confiança.
Para fazer isso, o daemon do RSE deve ter acesso a um certificado que identifique a CA.
Ao usar o banco de dados de chaves gskkyman para sua conexão SSL, o certificado da CA deve ser
incluído no banco de dados de chaves.
Ao usar um conjunto de chaves SAF (que é o método aconselhado), você deve incluir o certificado da CA em
seu banco de dados de segurança como um certificado CERTAUTH com o atributo TRUST ou HIGHTRUST, conforme
mostrado neste comando RACF de amostra.
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
Observe que a maioria dos produtos de segurança já tem os certificados para as CAs mais conhecidas
disponíveis em seu banco de dados com status NOTRUST.
Use os comandos RACF de amostra a seguir para listar os certificados de CA existentes e marcar um como
confiável com base no rótulo designado a ele.
RACDCERT CERTAUTH LIST
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
Nota: O status HIGHTRUST é necessário se você depender do RACF para autenticar o usuário com base na extensão
HostIdMappings no certificado. Consulte o
Autenticação por Software de Segurança para obter informações adicionais.
Quando o certificado da CA for incluído em seu banco de dados de segurança, ele deve ser conectado ao
conjunto de chaves do RSE, conforme mostrado neste comando RACF de amostra:
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
RING(rdzssl.racf))
Consulte Security Server RACF Command Language Reference (SA22-7687) para obter informações
adicionais sobre o comando RACDCERT.
Atenção: Se você depender do daemon do RSE em vez de seu software de segurança para autenticar
um usuário, você deve tomar cuidado para não confundir as CAs com status TRUST e HIGHTRUST. O daemon do RSE
não é capaz de diferenciar entre os dois, portanto, os certificados assinados por uma CA com status TRUST
será válido para propósitos de autenticação de ID do usuário.
Consulte
Autenticação por Daemon do RSE para obter informações adicionais sobre como usar
o daemon do RSE para a etapa de autenticação.