Im Rahmen der Überprüfung der Gültigkeit eines Zertifikats wird geprüft, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA, Certificate Authority)
signiert wurde. Für diese Prüfung muss der RSE-Dämon auf ein Zertifikat zugreifen können, das die CA identifiziert.
Wenn Sie für Ihre SSL-Verbindung die Schlüsseldatenbank von gskkyman verwenden, muss das CA-Zertifikat zur Schlüsseldatenbank hinzugefügt werden.
Wenn Sie (gemäß Empfehlung) einen SAF-Schlüsselring verwenden, müssen Sie das CA-Zertifikat als
CERTAUTH-Zertifikat mit dem Attribut
TRUST oder HIGHTRUST zu Ihrer Sicherheitsdatenbank hinzufügen. Sehen Sie sich dazu den folgenden RACF-Beispielbefehl an:
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
Die Datenbank der meisten Sicherheitsprodukte enthält bereits Zertifikate herkömmlicher Zertifizierungsstellen, allerdings mit dem Status
NOTRUST (nicht vertrauenswürdig). Verwenden Sie die folgenden
RACF-Beispielbefehle, um die vorhandenen CA-Zertifikate aufzulisten und eines der Zertifikate mit Hilfe der zugeordneten Kennzeichnung als vertrauenswürdig zu markieren.
RACDCERT CERTAUTH LIST
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
Anmerkung: Der Status HIGHTRUST (äußerst vertrauenswürdig) ist erforderlich, wenn RACF den Benutzer ausgehend von der Erweiterung
HostIdMappings im Zertifikat authentifiziert. Weitere Informationen hierzu enthält der Abschnitt
Authentifizierung durch Ihre Sicherheitssoftware.
Wenn das CA-Zertifikat zu Ihrer Sicherheitsdatenbank hinzugefügt wurde, muss es wie im folgenden RACF-Beispielbefehl mit dem
RSE-Schlüsselring verbunden werden:
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
RING(rdzssl.racf))
Ausführliche Informationen zum Befehl RACDCERT enthält die Veröffentlichung
Security Server RACF Command Language Reference (IBM Form SA22-7687).
Achtung: Falls Sie anstelle Ihrer Sicherheitssoftware den RSE-Dämon für die Authentifizierung eines Benutzers
verwenden, müssen Sie darauf achten, dass Zertifizierungsstellen mit dem Status TRUST (vertrauenswürdig) nicht mit Zertifizierungsstellen gemischt werden, die den Status
HIGHTRUST (äußerst vertrauenswürdig) haben. Der RSE-Dämon kann die beiden Status nicht unterscheiden, so dass von einer Zertifizierungsstelle mit dem Status TRUST signierte Zertifikate
als gültige Zertifikate für die Authentifizierung der Benutzer-ID angesehen werden. Weitere Informationen zur Verwendung des RSE-Dämons für die Authentifizierung
enthält der Abschnitt
Authentifizierung durch den RSE-Dämon.