Beispielkonfiguration zur Unterstützung der Anmeldung mit einem X.509-Zertifikat

Wenn Sie die Anmeldung mit X.509-Zertifikaten ermöglichen wollen, führen Sie die folgenden Schritte aus. Die Zertifikate werden in dieser Beispielkonfiguration mit RACF gespeichert. Denken Sie daran, dass die RACF-Schritte von einem Sicherheitsadministrator ausgeführt werden müssen.
  1. Definieren Sie die Anfangsberechtigungen für das Zertifikat, um der RSE-Benutzer-ID STCRSE den Zugriff auf diesen RACF-Schlüsselring zu erlauben.
    RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
    RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    SETROPTS RACLIST(FACILITY) REFRESH
  2. Erstellen Sie ein selbst signiertes Zertifikat mit der Bezeichnung rdzrse, um den RSE-Host (Dämon und Server) gegenüber dem Client zu identifizieren.
    RACDCERT ID(stcrse) GENCERT SUBJECTSDN(CN('rdz rse ssl') +
        OU('rdz') O('IBM') L('Raleigh') SP('NC') C('US')) +
      NOTAFTER(DATE(2017-05-21)) WITHLABEL('rdzrse') +
      KEYUSAGE(HANDSHAKE)
  3. Fügen Sie das RSE-Hostzertifikat zum neu erstellten Schlüsselring rdzssl.racf hinzu. Wenn Sie ein von einer Zertifizierungsstelle (CA, Certificate Authority) signiertes Hostzertifikat verwenden, muss das CA-Zertifikat ebenfalls zum Schlüsselring hinzugefügt werden.
    RACDCERT ID(stcrse) ADDRING(rdzssl.racf)
    RACDCERT ID(stcrse) CONNECT(LABEL('rdzrse') RING(rdzssl.racf) +
        DEFAULT USAGE(PERSONAL))

    Damit ist die RACF-Konfiguration für das RSE-Hostzertifikat abgeschlossen.

  4. Machen Sie aus dem Zertifikat, das die zum Signieren des Clientzertifikats verwendete Zertifizierungsstelle bezeichnet, ein äußerst vertrauenswürdiges CA-Zertifikat. Der Status TRUST (vertrauenswürdig) ist für die Validierung des Zertifikats ausreichend. Dennoch wird der Status in HIGHTRUST (äußerst vertrauenswürdig) geändert, weil das Zertifikat für die Authentifizierungsphase des Anmeldeprozesses verwendet wird.
    RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
  5. Fügen Sie das CA-Zertifikat zum Schlüsselring rdzssl.racf hinzu, damit es für die Validierung der Clientzertifikate verfügbar ist.
    RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
      RING(rdzssl.racf))

    Damit ist die RACF-Konfiguration für das CA-Zertifikat abgeschlossen.

  6. Definieren Sie in der Klasse SERVAUTH eine Ressource (im Format IRR.HOST.Hostname) für den Hostnamen CDFMVS08.RALEIGH.IBM.COM, der in der Erweiterung HostIdMappings Ihres Clientzertifikats definiert ist.
    RDEFINE SERVAUTH  IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  UACC(NONE)
  7. Gewähren Sie der Benutzer-ID für gestartete RSE-Tasks STCRSE Lesezugriff auf diese Ressource (Berechtigung READ).
    PERMIT IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  CLASS(SERVAUTH) +
      ACCESS(READ) ID(stcrse)
  8. Aktivieren Sie Ihre Änderungen an der Klasse SERVAUTH. Wenn die Klasse SERVAUTH noch nicht aktiv ist, verwenden Sie den ersten Befehl. Verwenden Sie den zweiten Befehl, um eine aktive Konfiguration zu aktualisieren.
    SETROPTS CLASSACT(SERVAUTH) RACLIST
    oder
    SETROPTS RACLIST(SERVAUTH) REFRESH

    Damit ist die RACF-Konfiguration für die Erweiterung HostIdMappings abgeschlossen.

  9. Aktualisieren Sie die Datei /etc/rdz/ssl.properties, damit RSE weiß, dass die Kommunikation mit dem Client mit SSL verschlüsselt wird.
    enable_ssl=true 
    
    # Dämonmerkmale
    daemon_keydb_file=rdzssl.racf 
    daemon_key_label=rdzrse
    
    # Servermerkmale
    server_keystore_file=rdzssl.racf
    server_keystore_type=JCERACFKS

    Damit ist die RSE-Konfiguration für SSL abgeschlossen.

  10. Starten Sie die gestartete RSE-Task neu, damit Anmeldungen mit X.509-Zertifikaten akzeptiert werden.