X.509 証明書ログオン・サポートのサンプル・セットアップ

X.509 証明書を使用したログオンを許可するには、以下の手順を実行します。このサンプル・セットアップでは、RACF を使用して証明書を保管します。RACF の手順は、セキュリティー管理者が行う必要があることに注意してください。
  1. 初期証明書関連の許可項目を定義して、STCRSE という RSE ユーザー ID による RACF 鍵リングへのアクセスを許可します。
    RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
    RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    SETROPTS RACLIST(FACILITY) REFRESH
  2. rdzrse というラベルを付けて自己署名証明書を作成し、RSE ホスト (デーモンおよびサーバーの両方) を当該クライアントに認識させます。
    RACDCERT ID(stcrse) GENCERT SUBJECTSDN(CN('rdz rse ssl') +
      OU('rdz') O('IBM') L('Raleigh') SP('NC') C('US')) +
      NOTAFTER(DATE(2017-05-21)) WITHLABEL('rdzrse') +
      KEYUSAGE(HANDSHAKE)
  3. RSE ホスト証明書を、新たに作成した鍵リング rdzssl.racf に追加します。 認証局 (CA) によって署名されたホスト証明書を使用する場合は、CA 証明書もその鍵リングに追加する必要があることに注意してください。
    RACDCERT ID(stcrse) ADDRING(rdzssl.racf)
    RACDCERT ID(stcrse) CONNECT(LABEL('rdzrse') RING(rdzssl.racf) +
      DEFAULT USAGE(PERSONAL))

    これで RSE ホスト証明書の RACF セットアップが完了します。

  4. クライアント証明書に署名する際に使用した認証局 (CA) を識別する証明書を、信頼性の高いトラステッド CA 証明書に変更します。TRUST 状況でも認証検証に十分ですが、HIGHTRUST に変更し、それをログオン処理の証明書認証の一部として使用します。
    RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
  5. クライアント証明書の検証に使用できるように、CA 証明書を鍵リング rdzssl.racf に追加します。
    RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
      RING(rdzssl.racf))

    これで CA 証明書の RACF セットアップが完了します。

  6. ご使用のクライアント証明書の HostIdMappings 拡張で定義されている、CDFMVS08.RALEIGH.IBM.COM というホスト名に、SERVAUTH クラスのリソース (IRR.HOST.hostname 形式) を定義します。
    RDEFINE SERVAUTH  IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  UACC(NONE)
  7. RSE 開始タスクのユーザー ID STCRSE に、このリソースへの読み取り権限を付与します。
    PERMIT IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  CLASS(SERVAUTH) +
      ACCESS(READ) ID(stcrse)
  8. SERVAUTH クラスへの変更内容を有効にします。SERVAUTH クラスがまだ有効になっていない場合は、最初のコマンドを使用します。アクティブ・セットアップをリフレッシュするには、2 つ目のコマンドを使用します。
    SETROPTS CLASSACT(SERVAUTH) RACLIST
    または
    SETROPTS RACLIST(SERVAUTH) REFRESH

    これで HostIdMappings 拡張の RACF セットアップが完了します。

  9. /etc/rdz/ssl.properties を更新して、クライアントとの間で SSL 暗号化通信を行うことを RSE が認識するようにします。
    enable_ssl=true 
    
    # Daemon Properties
    daemon_keydb_file=rdzssl.racf 
    daemon_key_label=rdzrse
    
    # Server Properties
    server_keystore_file=rdzssl.racf
    server_keystore_type=JCERACFKS

    これで SSL の RSE 構成のセットアップが完了します。

  10. RSE 開始タスクを再開して、X.509 証明書を使用したクライアント・ログオンを許可します。