Se desejado, é possível instruir o daemon do RSE para verificar uma ou mais Certificate Revocation Lists
(CRL) para incluir segurança extra para o processo de validação.
Isso é feito incluindo variáveis de ambiente relacionadas à CRL em
rsed.envvars.
As definições de amostra a seguir estão disponíveis em
rsed.envvars:
- GSK_CRL_SECURITY_LEVEL
- Especifica o nível de segurança que os aplicativos SSL usarão ao contatar servidores LDAP para verificar
CRLs para certificados revogados durante a validação de certificado.
O padrão é MEDIUM. Remova o comentário e altere para impingir o uso do valor especificado.
Os valores a seguir são válidos:
- LOW - A validação do certificado não falhará se o servidor LDAP não puder ser contatado.
- MEDIUM - A validação do certificado requer que o servidor LDAP possa ser contatado, mas
não requer que uma CRL seja definida.
Esse é o padrão.
- HIGH - A validação do certificado requer que o servidor LDAP possa ser contatado e que
uma CRL seja definida.
Nota: Esta diretiva requer z/OS 1.9 ou superior.
- GSK_LDAP_SERVER
- Especifica um ou mais nomes de hosts de servidores LDAP separados por espaços em branco. Remova o
comentário e altere para impingir o uso dos servidores LDAP especificados para obter sua CRL.
O nome do
host pode ser um endereço TCP/IP ou uma URL. Cada nome de host pode conter um número de porta opcional
separado do nome do host por dois pontos (:).
- GSK_LDAP_PORT
- Especifica a porta do servidor LDAP. O padrão é 389.
Remova o comentário e altere para impingir o uso do valor especificado.
- GSK_LDAP_USER
- Especifica o nome distinto a usar ao conectar ao servidor LDAP.
Remova o comentário e altere para impingir o uso do valor especificado.
- GSK_LDAP_PASSWORD
- Especifica a senha a usar ao conectar ao servidor LDAP. Remova o comentário e altere para impingir o uso
do valor especificado.
Consulte
Cryptographic Services System Secure Sockets Layer Programming (SC24-5901) para obter
informações adicionais sobre esta e outras variáveis de ambiente usadas pelo z/OS System SSL.
Nota: Tome
cuidado ao especificar outras variáveis de ambiente z/OS System SSL (GSK_* ) em
rsed.envvars, pois elas podem alterar a maneira como o daemon do RSE trata das conexões SSL
e da autenticação por certificado.