Wartungshinweis zu Developer für System z Version 7.5.1.0

Die Unterstützung für X.509-Zertifikate ist in Version 7.5.1.0 von Rational Developer für System z neu hinzugekommen. Auf dieser Wartungsstufe gibt es außerdem eine neue Anweisung in ssl.properties:
server_keystore_type={JKS | JCERACFKS}

Wenn server_keystore_type auf JKS (den Standardwert) gesetzt ist, wird das RSE-Serverzertifikat in einem vom Java-Programm keytool erstellten Keystore gespeichert.

Wenn server_keystore_type auf JCERACFKS gesetzt ist, wird das RSE-Serverzertifikat in einem von Ihrem Sicherheitsprodukt erstellten Schlüsselring gespeichert.

Das RSE-Serverzertifikat ist das Zertifikat, mit dem sich der RSE-Server gegenüber dem Client authentifiziert. Wenn das Zertifikat in einem Schlüsselring gespeichert wird, kann das RSE-Dämonzertifikat als RSE-Serverzertifikat verwendet werden, um die Konfiguration zu vereinfachen.

In der Veröffentlichung Rational Developer für System z Hostkonfiguration (IBM Form SC12-4062) ist das Speichern eines RSE-Serverzertifikats in einem Schlüsselring derzeit nicht beschrieben. Die Veröffentlichung enthält nur eine Beschreibung der Speichermethode mit dem Java-Keystore für den RSE-Server. Die für die Verwendung eines Schlüsselrings erforderlichen Aktionen sind in der SSL-Konfiguration im Abschnitt zum RSE-Dämon beschrieben, denn dieser hat schon früher Schlüsselringe unterstützt. Eine Kurzbeschreibung der Verwendung von Schlüsselringen finden Sie außerdem im Abschnitt Beispielkonfiguration zur Unterstützung der Anmeldung mit einem X.509-Zertifikat.

Anmerkungen:
  1. Der RSE-Dämon unterstützt das Speichern von Zertifikaten in einer Schlüsseldatenbank von gskkyman. Diese Speicheroption wird NICHT für den RSE-Server unterstützt.
  2. Das RSE-Serverzertifikat MUSS das erste Zertifikat im Java-Keystore oder SAF-Schlüsselring sein. Die CA-Zertifikate müssen danach hinzugefügt werden. Dies ist notwendig, weil der RSE-Server derzeit kein bestimmtes Zertifikat auswählen kann, sondern immer das erste Zertifikat abruft. Die vom RSE-Dämon verwendeten System-SSL-Validierungsroutinen können dagegen auf alle Zertifikate zugreifen.