Secure Sockets Layer (SSL) デジタル証明書、およびアプリケーションが HTTPS 要求の開始に
使用できる System Authorization Facility (SAF) 鍵リングを作成することができます。
このタスクについて
SAF 鍵リング (および個人鍵) の所有者は、
サーバント領域の STARTED クラス・プロファイルによって設定された MVS ユーザー ID である必要があります。
これらのアプリケーションは WebSphere Application Server for z/OS サーバント領域アドレス
で実行されるため、このユーザー ID は所有者である必要があります。このユーザー ID は、
WebSphere Application Server for z/OS コントローラーのユーザー ID とは異なります。
階層ファイル・システム (HFS) で
鍵ストアやトラストストアを使用する場合、ファイル名は、一意にファイル・システム内のファイルを
示します。
プロシージャー
- セキュリティー・サーバーとして Resource Access Control Facility (RACF) を使用する場合は、
次のように指定して、HTTPS アプリケーションが使用する個人の鍵リングを生成することができます。
RACDCERT ID(ASSR1) GENCERT SUBJECTSDN(CN('J2EE SERVER') O('Z/OS WEBSPHERE')
L('POUGHKEEPSIE') SP('NEW YORK') C('US')) SIZE(512)
WITHLABEL('ASSR1 SERVER CERTIFICATE') SIGNWITH(CERTAUTH LABEL('PVT CA'))
この例では、固有のサーバント領域証明書の生成に使用される認証局は、
カスタマイズ・ジョブによって WebSphere Application Server for z/OS サーバー証明書の生成
に使用される認証局と同じです。
- 制御領域ユーザー ID に使用されるのと同じ名前で鍵リングを作成します。
RACDCERT ADDRING(S1GRING) ID( ASSR1 )
新規鍵リングは、
認証局証明書およびサーバント・サーバー証明書のサーバント・ユーザー ID によって所有されます。
- 認証局証明書 (認証局からの証明書) を持っている必要があります。同じ認証局
を使用して、HTTPS アプリケーションが使用する証明書を生成することができます。この証明書は、
WebSphere Application Server ランタイム処理に使用される証明書と類似しています。
デジタル証明書の作成に使用される認証局証明書は、WebSphere Application Server ランタイム
によって使用され、システム・カスタマイズの際に作成されます (カスタマイズ・ダイアログによって
作成することもできます)。次のように指定して、この認証局証明書を上記で作成した鍵リングに
接続することができます。
RACDCERT ID(ASSR1) CONNECT (RING(S1GRING) LABEL('PVT CA') CERTAUTH)
この例では、
次のようになっています。
- S1GRING は、RACF 鍵リングを表します
- ASSR1 は、サーバント・ユーザー ID を表します
- PVT CA は、認証局を表します
要求の宛先が別の WebSphere Application Server for z/OS サーバーの場合、
WebSphere Application Server for z/OS HTTPS レパートリーによって使用される
認証局証明書 (通常、カスタマイズの際にセットアップされる) が証明書署名者と異なるときは、
これを自分の鍵リングにインポートする必要もあります。クライアント証明書を使用する認証が要求
される場合は、アプリケーションの認証局を HTTPS レパートリーにインポートする必要もあります。
- 個人証明書を自分の鍵リングに接続します。
RACDCERT ID(ASSR1) CONNECT(ID(ASSR1) LABEL('ASSR1 SERVER CERTIFICATE') RING(S1GRING) DEFAULT)
この例では、
次のようになっています。
- S1GRING は、RACF 鍵リングを表します
- ASSR1 は、サーバント・ユーザー ID を表します
- ASSR1 SERVER CERTIFICATE は、サーバント・ユーザー ID のサーバー証明書を表します
- SYSPLEX 内で固有でなければならないカスタマイズ可能情報を入力します。 以下の情報を指定することができます。
- サブジェクトの公開鍵
- サブジェクトの識別名 (X.509 証明書のエンティティーを一意に示す)
- 共通名
- タイトル
- 組織名
- 組織単位名
- 地域名
- 都道府県名
- 国
- 証明書を発行する認証局の識別名
- 証明書の発効日
- 証明書の有効期限
- バージョン番号
- シリアル番号
- カスタマイズ・ジョブの出力を検査してセットアップの内容を確認します。 HLQ.DATA.(BBOWBRAK、保管されている場合は BBOSBRAK) を調べ、
認証局証明書ラベルの設定、サーバント領域の開始済みタスク ID を記録します。Web サービスの既存の
レパートリー定義を使用する場合は、鍵リング名が作成されます。
結果
注:
- 以下のことを考慮に入れてください。
- SSLConfig 定義によって指示されるレパートリー・タイプは、
Java Secure Socket Extension (JSSE) レパートリーである必要があります。このレパートリーは、
以下を参照するように構成することができます。
- HFS ファイルにおける Java Key Store (JKS) 鍵ストアおよびトラストストアの各ファイル
- RACFJSSESettings などの SAF 鍵リング
- レパートリー定義のスコープは、レパートリー・タイプによって異なります。以下に例を示します。
- レパートリーが SAF 鍵リングを参照する場合、鍵リングは、それを使用するプロセス
の MVS ユーザー ID によって所有される必要があります。カスタマイズ・ジョブは、
WebSphere Application Server for z/OS コントローラーの開始済みタスク・ユーザー ID によって
所有される鍵リングを作成します。
WebSphere Application Server Web サービス・クライアントは、
WebSphere Application Server for z/OS サーバント領域の開始済みタスク・ユーザー ID のユーザー ID を使用して実行されます。これは、サーバント領域のユーザー ID によって所有される新規鍵リング
を作成する必要があることを意味します。既存の SSL レパートリーを指定しても、
このユーザー ID が WebSphere Application Server Web サービス・クライアントによって使用されます。
- レパートリーが HFS ファイルを参照する場合は、すべてのプロセスが鍵ストアを共用できます。HFS で
鍵ストアやトラストストアを使用する場合、ファイル名は、一意にファイル・システム内のファイルを
示します。
ユーザー定義可能な ibm-webservicesclient-bnd.xmi アセンブリー・プロパティー
の 1 つである sslConfig プロパティーを編集して使用するには、なんらかのデジタル証明書
および鍵リング管理が必要です。sslConfig プロパティーの詳細については、
ibm-webservicesclient-bnd.xmi
アセンブリー・プロパティーを参照してください。