認証局 (CA) の検証

証明書の検証プロセスの一環として、証明書が信頼性のある認証局 (CA) によって署名されていることを検査します。そのためには、CA を識別する証明書に RSE デーモンがアクセスできる必要があります。

SSL 接続に gskkyman 鍵データベースを使用する場合は、CA 証明書をその鍵データベースに追加する必要があります。

SAF 鍵リング (推奨の方法) を使用する場合は、以下のサンプル RACF コマンドに示すように、TRUST または HIGHTRUST の属性を持つ CERTAUTH 証明書として、CA 証明書をセキュリティー・データベースに追加する必要があります。
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
ほとんどのセキュリティー製品では、そのデータベースで使用可能な NOTRUST 状況の既知の CA に対する証明書が、既にあることに注意してください。以下のサンプル RACF コマンドを使用して、既存の CA 証明書をリストし、それぞれに割り当てられたラベルに基づいて、証明書に信頼性のマークを付けます。
RACDCERT CERTAUTH LIST 
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
注: 証明書の HostIdMappings 拡張に基づいて RACF によってユーザーを認証する場合は、HIGHTRUST 状況が必要です。詳細については、セキュリティー・ソフトウェアによる認証を参照してください。
CA 証明書をセキュリティー・データベースに追加した後、以下のサンプル RACF コマンドに示すように、その CA 証明書を RSE 鍵リングに接続する必要があります。
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
  RING(rdzssl.racf))

RACDCERT コマンドの詳細については、「Security Server RACF コマンド言語解説書」(SA88-8617) を参照してください。

重要: セキュリティー・ソフトウェアではなく、RSE デーモンによってユーザーを認証する場合は、TRUST 状況の CA と HIGHTRUST 状況の CA を混合しないように注意する必要があります。RSE デーモンではこの 2 つを区別できないので、TRUST 状況の CA によって署名された証明書が、ユーザー ID 認証の目的において有効になります。認証ステップでの RSE デーモンの使用の詳細については、RSE デーモンによる認証を参照してください。