X.509 인증서 로그온 지원을 위한 샘플 설치

X.509 인증서를 사용하여 로그온할 수 있도록 다음 단계를 수행합니다. 이 샘플 설치에서는 RACF를 사용하여 인증서를 저장합니다. 보안 관리자가 RACF 단계를 수행해야 합니다.
  1. RSE 사용자 ID인 STCRSE가 해당 RACF 키 링에 액세스할 수 있도록 초기 인증서 관련 허가를 정의하십시오.
    RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)
    RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) +
      ID(stcrse)
    SETROPTS RACLIST(FACILITY) REFRESH
  2. 레이블이 rdzrse인 자체 서명된 인증서를 작성하여 클라이언트에 대한 RSE 호스트(디먼과 서버 모두)를 식별하십시오.
    RACDCERT ID(stcrse) GENCERT SUBJECTSDN(CN('rdz rse ssl') +
      OU('rdz') O('IBM') L('Raleigh') SP('NC') C('US')) +
      NOTAFTER(DATE(2017-05-21)) WITHLABEL('rdzrse') +
      KEYUSAGE(HANDSHAKE)
  3. RSE 호스트 인증서를 새로 작성된 키 링 rdzssl.racf에 추가하십시오. CA(Certificate Authority)에서 서명된 호스트 인증서를 사용하는 경우 CA 인증서도 키 링에 추가해야 합니다.
    RACDCERT ID(stcrse) ADDRING(rdzssl.racf)
    RACDCERT ID(stcrse) CONNECT(LABEL('rdzrse') RING(rdzssl.racf) +
      DEFAULT USAGE(PERSONAL))

    RSE 호스트 인증서에 대한 RACF 설치를 마칩니다.

  4. 클라이언트 인증서를 서명하는 데 사용된 CA(Certificate Authority)를 식별하는 인증서를 매우 신뢰할 수 있는 CA 인증서로 변경하십시오. 신뢰 상태가 인증서 유효성 검증을 수행하는 데 충분한 상태인 경우에도 로그온 프로세스의 인증서 인증 부분에 사용되는 것과 같이 HIGHTRUST로 변경됩니다.
    RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
  5. 클라이언트 인증서를 유효성 검증할 수 있도록 CA 인증서를 키 링 rdzssl.racf에 추가하십시오.
    RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
      RING(rdzssl.racf))

    CA 인증서에 대한 RACF 설치를 마칩니다.

  6. SERVAUTH 클래스에서 클라이언트 인증서의 HostIdMappings 확장에 정의된 호스트 이름 CDFMVS08.RALEIGH.IBM.COM에 대한 자원(형식 IRR.HOST.hostname)을 정의하십시오.
    RDEFINE SERVAUTH  IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  UACC(NONE)
  7. RSE 시작 타스크 사용자 ID STCRSE에 READ 권한과 함께 이 자원에 액세스할 수 있는 권한을 부여하십시오.
    PERMIT IRR.HOST.CDFMVS08.RALEIGH.IBM.COM  CLASS(SERVAUTH) +
      ACCESS(READ) ID(stcrse)
  8. SERVAUTH 클래스에 대한 변경사항을 활성화하십시오. SERVAUTH 클래스가 활성화되지 않은 경우 첫 번째 명령을 사용하십시오. 두 번째 명령을 사용하여 활성 설치를 새로 고치십시오.
    SETROPTS CLASSACT(SERVAUTH) RACLIST
    또는
    SETROPTS RACLIST(SERVAUTH) REFRESH

    HostIdMappings 확장에 대한 RACF 설치를 마칩니다.

  9. RSE에서 클라이언트와의 SSL 암호화 통신을 사용할 수 있도록 /etc/rdz/ssl.properties를 갱신하십시오.
    enable_ssl=true
    
    # Daemon Properties
    daemon_keydb_file=rdzssl.racf
    daemon_key_label=rdzrse
    
    # Server Properties
    server_keystore_file=rdzssl.racf
    server_keystore_type=JCERACFKS

    SSL에 대한 RSE 구성 설치를 마칩니다.

  10. RSE 시작 타스크를 다시 시작하여 X.509 인증서를 통한 클라이언트 로그온을 허용하십시오.