Liste widerrufener Zertifikate abfragen (optional)

Bei Bedarf können Sie den RSE-Dämon anweisen, Listen widerrufener Zertifikate zu überprüfen, um die Sicherheit des Validierungsprozesses zu erhöhen.

Hierfür müssen Sie listenbezogene Umgebungsvariablen zu rsed.envvars hinzufügen. Die Datei rsed.envvars enthält folgende Beispieldefinitionen:
GSK_CRL_SECURITY_LEVEL
Gibt die Sicherheitsstufe an, die SSL-Anwendungen bei der Validierung von Zertifikaten für die Überprüfung von Listen widerrufener Zertifikate verwenden, wenn Sie Kontakt zu LDAP-Servern aufnehmen. Die Standardstufe ist MEDIUM. Entfernen Sie das Kommentarzeichen und ändern Sie den Wert, um die Verwendung einer bestimmten Stufe durchzusetzen. Folgende Werte sind gültig:
  • LOW - Die Validierung von Zertifikaten schlägt nicht fehl, wenn kein Kontakt zum LDAP-Server möglich ist.
  • MEDIUM - Für die Validierung von Zertifikaten muss ein Kontakt zum LDAP-Server möglich sein. Eine Liste widerrufener Zertifikate muss jedoch nicht definiert sein. Dies ist die Standardeinstellung.
  • HIGH - Für die Validierung von Zertifikaten muss ein Kontakt zum LDAP-Server möglich und eine Liste widerrufener Zertifikate definiert sein.
Anmerkung: Für diese Anweisung ist z/OS ab Version 1.9 erforderlich.
GSK_LDAP_SERVER
Gibt (durch Leerzeichen getrennte) Hostnamen für LDAP-Server an. Entfernen Sie das Kommentarzeichen und ändern Sie den Wert, um die Liste widerrufener Zertifikate von den angegebenen LDAP-Servern abzurufen.

Der Hostname kann eine TCP/IP-Adresse oder ein URL sein. Jeder Hostname kann optional eine Port-Nummer enthalten, die durch einen Doppelpunkt (:) vom Hostnamen getrennt ist.

GSK_LDAP_PORT
Gibt den Port des LDAP-Servers an. Der Standardwert ist 389. Entfernen Sie das Kommentarzeichen und ändern Sie den Wert, um die Verwendung eines bestimmten Ports durchzusetzen.
GSK_LDAP_USER
Gibt den eindeutigen Namen an, der verwendet werden muss, wenn eine Verbindung zum LDAP-Server hergestellt wird. Entfernen Sie das Kommentarzeichen und ändern Sie den Wert, um die Verwendung eines bestimmten Namens durchzusetzen.
GSK_LDAP_PASSWORD
Gibt das Kennwort an, das verwendet werden muss, wenn eine Verbindung zum LDAP-Server hergestellt wird. Entfernen Sie das Kommentarzeichen und ändern Sie den Wert, um die Verwendung eines bestimmten Kennworts durchzusetzen.
Weitere Informationen zu diesen und anderen von z/OS System SSL verwendeten Umgebungsvariablen enthält die Veröffentlichung Cryptographic Services System Secure Sockets Layer Programming (IBM Form SC24-5901).
Anmerkung: Lassen Sie besondere Sorgfalt walten, wenn Sie in rsed.envvars andere z/OS-System-SSL-Umgebungsvariablen (GSK_*) angeben, denn diese können die Handhabung von SSL-Verbindungen und der Zertifikatauthentifizierung durch den RSE-Dämon beeinflussen.