Configuración de ejemplo para el soporte de inicios de sesión de certificados X.509

Siga estos pasos para permitir inicios de sesión utilizando certificados X.509. Esta configuración de ejemplo utiliza RACF para almacenar los certificados. Tenga en cuenta que los pasos de RACF debe llevarlos a cabo un administrador de seguridad.
  1. Defina los permisos iniciales relacionados con certificados para permitir que el ID de usuario de RSE, STCRSE, acceda a su conjunto de claves RACF.
    RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
    RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    SETROPTS RACLIST(FACILITY) REFRESH
  2. Cree un certificado autofirmado, con la etiqueta rdzrse, para identificar el host RSE (tanto daemon como servidor) ante el cliente.
    RACDCERT ID(stcrse) GENCERT SUBJECTSDN(CN('rdz rse ssl') +
      OU('rdz') O('IBM') L('Raleigh') SP('NC') C('US')) +
      NOTAFTER(DATE(2017-05-21)) WITHLABEL('rdzrse') +
      KEYUSAGE(HANDSHAKE)
  3. Añada el certificado de host RSE a un conjunto de claves de nueva creación, rdzssl.racf. Tenga en cuenta que si utiliza un certificado de host firmado por una Autoridad de certificación (CA), el certificado CA también debe añadirse al conjunto de claves.
    RACDCERT ID(stcrse) ADDRING(rdzssl.racf)
    RACDCERT ID(stcrse) CONNECT(LABEL('rdzrse') RING(rdzssl.racf) +
      DEFAULT USAGE(PERSONAL))

    Esto concluye la configuración de RACF para el certificado de host RSE.

  4. Cambie el certificado que identifica la Autoridad de certificación (CA) utilizada para firmar el certificado de cliente a un certificado CA de alta confianza. Aunque el estado TRUST es suficiente para la validación de certificados, se realiza el cambio HIGHTRUST, ya que se utiliza para la parte de autenticación de certificados del proceso de inicio de sesión.
    RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
  5. Añada el certificado CA al conjunto de claves, rdzssl.racf, de forma que esté disponible para validar los certificados de cliente.
    RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
      RING(rdzssl.racf))

    Esto concluye la configuración de RACF para el certificado CA.

  6. Defina un recurso (formato IRR.HOST.nombrehost ) en la clase SERVAUTH para el nombre de host, CDFMVS08.RALEIGH.IBM.COM, definido en la extensión HostIdMappings de su certificado de cliente.
    RDEFINE SERVAUTH  IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  UACC(NONE)
  7. Otorgue al ID de usuario de tarea iniciada de RSE, STCRSE , acceso a este recurso con autorización READ.
    PERMIT IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  CLASS(SERVAUTH) +
      ACCESS(READ) ID(stcrse)
  8. Active los cambios de la clase SERVAUTH. Utilice el primer mandato si la clase SERVAUTH aún no está activa. Utilice el segundo para renovar una configuración activa.
    SETROPTS CLASSACT(SERVAUTH) RACLIST
    o bien
    SETROPTS RACLIST(SERVAUTH) REFRESH

    Esto concluye la configuración de RACF para la extensión HostIdMappings.

  9. Actualice /etc/rdz/ssl.properties de forma que RSE sepa que debe utilizar la comunicación cifrada SSL con el cliente.
    enable_ssl=true
    
    # Propiedades del daemon
    daemon_keydb_file=rdzssl.racf
    daemon_key_label=rdzrse
    
    # Propiedades del servidor
    server_keystore_file=rdzssl.racf
    server_keystore_type=JCERACFKS

    Esto concluye la configuración de RSE para SSL.

  10. Reinicie la tarea iniciada de RSE para empezar a aceptar inicios de sesión de clientes utilizando certificados X.509.