Validación de la Autoridad de certificación (CA)

Parte del proceso de validación de certificados contempla que el certificado esté firmado por una Autoridad de certificación (CA) de confianza. Para poder hacerlo, el daemon RSE debe acceder a un certificado que identifique la CA.

Al utilizar la base de datos de clave gskkyman para su conexión SSL, debe añadirse el certificado CA a la base de datos de clave.

Al utilizar un conjunto de claves de SAF (que es el método recomendado), debe añadir el certificado CA a su base de datos de seguridad como un certificado CERTAUTH con el atributo TRUST o HIGHTRUST, como se muestra en este mandato RACF de ejemplo.
RACDCERT CERTAUTH ADD(dsn) HIGHTRUST WITHLABEL( label )
Tenga en cuenta que la mayoría de productos de seguridad ya tienen los certificados para CA conocidas disponibles en su base de datos con un estado NOTRUST. Utilice los siguientes mandatos RACF de ejemplo para listar los certificados CA existentes y marcar uno como de confianza basándose en la etiqueta asignada.
RACDCERT CERTAUTH LIST 
RACDCERT CERTAUTH ALTER(LABEL('HighTrust CA')) HIGHTRUST
Nota: El estado HIGHTRUST es necesario si depende de que RACF autentique el usuario basándose en la extensión HostIdMappings del certificado. Consulte Autenticación por parte del software de seguridad para obtener más información.
Una vez se añade el certificado CA a su base de datos de seguridad, debe conectarse al conjunto de claves RSE, como se muestra en este mandato RACF de ejemplo:
RACDCERT ID(stcrse) CONNECT(CERTAUTH LABEL('HighTrust CA') +
  RING(rdzssl.racf))

Consulte la publicación Security Server RACF Command Language Reference (SA22-7687) para obtener más información sobre el mandato RACDCERT.

Atención: Si depende del daemon RSE en vez de su software de seguridad para autenticar un usuario, debe tener cuidado de no mezclar las CA con estados TRUST y HIGHTRUST. El daemon RSE no puede distinguir entre los dos, por lo que los certificados firmados por una CA con estado TRUST serán válidos para fines de autenticación de ID de usuario. Vea Autenticación por daemon RSE para obtener más información sobre cómo utilizar el daemon RSE para el paso de autenticación.