Validierung der Zertifizierungsstelle

Im Rahmen der Überprüfung der Gültigkeit eines Zertifikats wird geprüft, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA, Certificate Authority) signiert wurde. Für diese Prüfung muss der RSE-Dämon auf ein Zertifikat zugreifen können, das die CA identifiziert.

Wenn Sie für Ihre SSL-Verbindung die Schlüsseldatenbank von gskkyman verwenden, muss das CA-Zertifikat zur Schlüsseldatenbank hinzugefügt werden.

Wenn Sie (gemäß Empfehlung) einen SAF-Schlüsselring verwenden, müssen Sie das CA-Zertifikat als CERTAUTH-Zertifikat mit dem Attribut TRUST oder HIGHTRUST zu Ihrer Sicherheitsdatenbank hinzufügen. Sehen Sie sich dazu den folgenden RACF-Beispielbefehl an:
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
Die Datenbank der meisten Sicherheitsprodukte enthält bereits Zertifikate herkömmlicher Zertifizierungsstellen, allerdings mit dem Status NOTRUST (nicht vertrauenswürdig). Verwenden Sie die folgenden RACF-Beispielbefehle, um die vorhandenen CA-Zertifikate aufzulisten und eines der Zertifikate mit Hilfe der zugeordneten Kennzeichnung als vertrauenswürdig zu markieren.
RACDCERT CERTAUTH LIST 
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
Anmerkung: Der Status HIGHTRUST (äußerst vertrauenswürdig) ist erforderlich, wenn RACF den Benutzer ausgehend von der Erweiterung HostIdMappings im Zertifikat authentifiziert. Weitere Informationen hierzu enthält der Abschnitt Authentifizierung durch Ihre Sicherheitssoftware.
Wenn das CA-Zertifikat zu Ihrer Sicherheitsdatenbank hinzugefügt wurde, muss es wie im folgenden RACF-Beispielbefehl mit dem RSE-Schlüsselring verbunden werden:
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
  RING(rdzssl.racf))

Ausführliche Informationen zum Befehl RACDCERT enthält die Veröffentlichung Security Server RACF Command Language Reference (IBM Form SA22-7687).

Achtung: Falls Sie anstelle Ihrer Sicherheitssoftware den RSE-Dämon für die Authentifizierung eines Benutzers verwenden, müssen Sie darauf achten, dass Zertifizierungsstellen mit dem Status TRUST (vertrauenswürdig) nicht mit Zertifizierungsstellen gemischt werden, die den Status HIGHTRUST (äußerst vertrauenswürdig) haben. Der RSE-Dämon kann die beiden Status nicht unterscheiden, so dass von einer Zertifizierungsstelle mit dem Status TRUST signierte Zertifikate als gültige Zertifikate für die Authentifizierung der Benutzer-ID angesehen werden. Weitere Informationen zur Verwendung des RSE-Dämons für die Authentifizierung enthält der Abschnitt Authentifizierung durch den RSE-Dämon.