証明書の検証プロセスの一環として、証明書が信頼性のある認証局 (CA) によって署名されていることを検査します。そのためには、CA を識別する証明書に RSE デーモンがアクセスできる必要があります。
SSL 接続に gskkyman 鍵データベースを使用する場合は、CA 証明書をその鍵データベースに追加する必要があります。
SAF 鍵リング (推奨の方法) を使用する場合は、以下のサンプル RACF コマンドに示すように、TRUST または HIGHTRUST の属性を持つ CERTAUTH 証明書として、CA 証明書をセキュリティー・データベースに追加する必要があります。
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
ほとんどのセキュリティー製品では、そのデータベースで使用可能な NOTRUST 状況の既知の CA に対する証明書が、既にあることに注意してください。以下のサンプル RACF コマンドを使用して、既存の CA 証明書をリストし、それぞれに割り当てられたラベルに基づいて、証明書に信頼性のマークを付けます。
RACDCERT CERTAUTH LIST
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
注: 証明書の HostIdMappings 拡張に基づいて RACF によってユーザーを認証する場合は、HIGHTRUST 状況が必要です。詳細については、
セキュリティー・ソフトウェアによる認証を参照してください。
CA 証明書をセキュリティー・データベースに追加した後、以下のサンプル RACF コマンドに示すように、その CA 証明書を RSE 鍵リングに接続する必要があります。
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
RING(rdzssl.racf))
RACDCERT コマンドの詳細については、「Security Server RACF コマンド言語解説書」(SA88-8617) を参照してください。
重要: セキュリティー・ソフトウェアではなく、RSE デーモンによってユーザーを認証する場合は、TRUST 状況の CA と HIGHTRUST 状況の CA を混合しないように注意する必要があります。RSE デーモンではこの 2 つを区別できないので、TRUST 状況の CA によって署名された証明書が、ユーザー ID 認証の目的において有効になります。認証ステップでの RSE デーモンの使用の詳細については、
RSE デーモンによる認証を参照してください。