认证中心(CA)验证

证书验证进程部分包括检查证书是否由您信任的认证中心(CA)签署。为此,RSE 守护程序必须能够访问标识 CA 的证书。

对 SSL 连接使用 gskkyman 密钥数据库时,必须将 CA 证书添加至密钥数据库。

使用 SAF 密钥环(这是建议方法)时,必须将 CA 证书作为带有 TRUST 或 HIGHTRUST 属性的 CERTAUTH 证书添加至安全性数据库,如以下样本 RACF 命令中所示。
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
注意,大多数安全性产品已经具有证书,由知名 CA 在其数据库中提供,并且状态为 NOTRUST。使用以下样本 RACF 命令来列示现有 CA 证书,并根据指定给证书的标签将其标记为可信。
RACDCERT CERTAUTH LIST 
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
注: 如果依赖于根据证书中的 HostIdMappings 扩展认证用户的 RACF,那么 HIGHTRUST 状态是必需的。请参阅由安全性软件进行认证以了解更多信息。
一旦将 CA 证书添加至安全性数据库,它就必须连接至 RSE 密钥环,如以下样本 RACF 命令中所示:
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
  RING(rdzssl.racf))

请参阅 Security Server RACF Command Language Reference(SA22-7687)以了解有关 RACDCERT 命令的更多信息。

注意: 如果依赖于 RSE 守护程序而不是安全性软件来认证用户,那么必须注意不要将带有 TRUST 状态的 CA 与带有 HIGHTRUST 状态的 CA 混合。RSE 守护程序无法区分两者,所以由带有 TRUST 状态的 CA 签署的证书对用户标识认证有效。请参阅由 RSE 守护程序进行认证以了解有关使用 RSE 守护程序完成认证步骤的更多信息。