必要に応じて、追加のセキュリティーを検証プロセスに加えるために 1 つ以上の証明書失効リスト (CRL) をチェックするよう RSE デーモンに指示できます。
これは、CRL 関連の環境変数を
rsed.envvars に追加することによって行います。
以下のサンプル定義は
rsed.envvars 内で使用できます。
- GSK_CRL_SECURITY_LEVEL
- 失効した証明書を証明書検証時に CRL 内で検査するために LDAP サーバーへの接続時に SSL アプリケーションが使用するセキュリティーのレベルを指定します。
デフォルトは MEDIUM です。コメントを解除し、指定した値を強制的に使用させるように変更します。以下の値が有効です。
- LOW - LDAP サーバーに接続できない場合、証明書検証が失敗しない。
- MEDIUM - 証明書検証で、LDAP サーバーに接続可能であることは必要であるが、CRL を定義することは不要である。これはデフォルトです。
- HIGH - 証明書検証で、LDAP サーバーに接続可能であることと CRL を定義することが必要である。
注: このディレクティブは z/OS 1.9 以上が必要である。
- GSK_LDAP_SERVER
- ブランクで区切られた 1 つ以上の LDAP サーバー・ホスト名を指定します。コメントを解除し、CRL の取得のために指定した LDAP サーバーを強制的に使用させるように変更します。
ホスト名には TCP/IP アドレスまたは URL が指定できます。各ホスト名には、コロン (:) で区切ってオプションのポート番号を指定できます。
- GSK_LDAP_PORT
- LDAP サーバー・ポートを指定します。デフォルトは 389 です。
コメントを解除し、指定した値を強制的に使用させるように変更します。
- GSK_LDAP_USER
- LDAP サーバーに接続するときに使用する識別名を指定します。
コメントを解除し、指定した値を強制的に使用させるように変更します。
- GSK_LDAP_PASSWORD
- LDAP サーバーに接続するときに使用するパスワードを指定します。
コメントを解除し、指定した値を強制的に使用させるように変更します。
z/OS System SSL が使用するこれらの環境変数と他の環境変数の詳細については、「
Cryptographic Services System (Secure Sockets Layer) プログラミング」(SD88-6252) を参照してください。
注: 他の z/OS System SSL 環境変数 (GSK_*) を rsed.envvars に指定する場合、RSE デーモンが SSL 接続および証明書認証を処理する方法をこれらの環境変数が変更してしまうことがあるので、注意してください。