Validação da Autoridade de Certificação (CA)

Parte do processo de validação do certificado inclui verificar se o certificado foi assinado por uma Autoridade de Certificação (CA) de confiança. Para fazer isso, o daemon do RSE deve ter acesso a um certificado que identifique a CA.

Ao usar o banco de dados de chaves gskkyman para sua conexão SSL, o certificado da CA deve ser incluído no banco de dados de chaves.

Ao usar um conjunto de chaves SAF (que é o método aconselhado), você deve incluir o certificado da CA em seu banco de dados de segurança como um certificado CERTAUTH com o atributo TRUST ou HIGHTRUST, conforme mostrado neste comando RACF de amostra.
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
Observe que a maioria dos produtos de segurança já tem os certificados para as CAs mais conhecidas disponíveis em seu banco de dados com status NOTRUST. Use os comandos RACF de amostra a seguir para listar os certificados de CA existentes e marcar um como confiável com base no rótulo designado a ele.
RACDCERT CERTAUTH LIST
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
Nota: O status HIGHTRUST é necessário se você depender do RACF para autenticar o usuário com base na extensão HostIdMappings no certificado. Consulte o Autenticação por Software de Segurança para obter informações adicionais.
Quando o certificado da CA for incluído em seu banco de dados de segurança, ele deve ser conectado ao conjunto de chaves do RSE, conforme mostrado neste comando RACF de amostra:
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
  RING(rdzssl.racf))

Consulte Security Server RACF Command Language Reference (SA22-7687) para obter informações adicionais sobre o comando RACDCERT.

Atenção: Se você depender do daemon do RSE em vez de seu software de segurança para autenticar um usuário, você deve tomar cuidado para não confundir as CAs com status TRUST e HIGHTRUST. O daemon do RSE não é capaz de diferenciar entre os dois, portanto, os certificados assinados por uma CA com status TRUST será válido para propósitos de autenticação de ID do usuário. Consulte Autenticação por Daemon do RSE para obter informações adicionais sobre como usar o daemon do RSE para a etapa de autenticação.