このトピックのステップを使用して、クライアントがデジタル証明書を使用できるようにします。
このタスクについて
以下の RACF ステップを実行して、クライアントがデジタル証明書を使用できるようにします。
SOAP、Secure Socket Layer (SSL)、および Java Secure Socket Extensions (JSSE) は、
公開鍵および秘密鍵を持つデジタル証明書を使用します。
クライアントが SOAP、SSL、または JSSE を使用している場合には、RACF を使用して、クライアントが稼働しているユーザー ID 用の公開鍵および秘密鍵を持つデジタル証明書を保管しなければなりません。
プロシージャー
- SOAP を使用する各管理クライアント・プログラムでは、クライアント・ユーザー ID の鍵リングを作成します。
例えば、クライアントが CLIENTID というユーザー ID で稼
働している場合、以下のコマンドを発行します。
RACDCERT ADDRING(ACRRING) ID(CLIENTID)
- 上記のステップで作成した鍵リングは、管理クライアントが接続するサーバーで信頼を確立するのに必要なすべての認証局 (CA) 証明書の公開証明書を含む必要があります。
各 CA 証明書のために、次のコマンドを実行します。
- この CA 証明書が現在 RACF に保管されているかどうかを判別します。保
管されている場合は、既存の証明書ラベルを記録します。保管されていない場合は、以下のこと
を行う必要があります。
- サーバー証明書を証明するために使用する各 CA 証明書を受け取ります。例えば、
USER.SERVER1.CA ファイルに保管され、ユーザー ID SERVER1 でサ
ーバーを検証する CA 証明書を受け取るには、
以下のコマンドを発行します。
RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
- 各サーバーの CA 証明書をクライアント・ユーザー ID の鍵リングに接続します。
例えば、SERVER1 CA 証明書を CLIENTID が所有しているリング ACRRING に接続します。
RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
- 管理クライアントが接続するサーバーが SSL クライアント証明書のサポートを実装する場合、
クライアントの証明書を作成し、それらをサーバーの鍵リングに追加する必要があります。
サーバーに鍵リングをセットアップする方法については、サーバーの SSL セキュリティーの定義を参照してください。
- クライアント・ユーザー ID に、RACF FACILITY クラスの IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING プロファイルに対する読み取りアクセスを与えます。
例えば、クライアント・ユーザー ID が CLIENTID である場
合、以下のコマンドを発行します。
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)
次の作業
RACF コマンドの実行が成功すると、RACF フェーズで終了します。