WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

クライアントおよびサーバーの SSL セキュリティーの定義

このトピックのステップを使用して、クライアントがデジタル証明書を使用できるようにします。

始める前に

セキュリティー・サーバーとして z/OS Security Server (RACF) を使用していることを前提としていることに注意してください。 サーバー証明書に署名するために使用される認証局 (CA) 証明書のコピーを入手する必要があります。 サーバー証明書は、クライアントをサーバーに接続します。 また、z/OS Security Server リソース・アクセス管理機能 (RACF) の RACDCERT コマンドを使用するために、適切な権限を備えたユーザー ID を持たなければなりません (例えば、SPECIAL)。 RACDCERT コマンドについて詳しくは、http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html で入手可能な「z/OS Security Server RACF RACF Command Language Reference (SA22-7687-05)」を参照してください。 RACF の概要について詳しくは、http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html で入手可能な「z/OS Security Server RACF Security Administrator's Guide (SA22-7683-05)」を参照してください。

このタスクについて

以下の RACF ステップを実行して、クライアントがデジタル証明書を使用できるようにします。 SOAP、Secure Socket Layer (SSL)、および Java Secure Socket Extensions (JSSE) は、 公開鍵および秘密鍵を持つデジタル証明書を使用します。 クライアントが SOAP、SSL、または JSSE を使用している場合には、RACF を使用して、クライアントが稼働しているユーザー ID 用の公開鍵および秘密鍵を持つデジタル証明書を保管しなければなりません。

プロシージャー

  1. SOAP を使用する各管理クライアント・プログラムでは、クライアント・ユーザー ID の鍵リングを作成します。 例えば、クライアントが CLIENTID というユーザー ID で稼 働している場合、以下のコマンドを発行します。
    RACDCERT ADDRING(ACRRING) ID(CLIENTID)
    
  2. 上記のステップで作成した鍵リングは、管理クライアントが接続するサーバーで信頼を確立するのに必要なすべての認証局 (CA) 証明書の公開証明書を含む必要があります。 各 CA 証明書のために、次のコマンドを実行します。
    1. この CA 証明書が現在 RACF に保管されているかどうかを判別します。保 管されている場合は、既存の証明書ラベルを記録します。保管されていない場合は、以下のこと を行う必要があります。
      1. サーバー証明書を証明するために使用する各 CA 証明書を受け取ります。例えば、 USER.SERVER1.CA ファイルに保管され、ユーザー ID SERVER1 でサ ーバーを検証する CA 証明書を受け取るには、 以下のコマンドを発行します。
        RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
      2. 各サーバーの CA 証明書をクライアント・ユーザー ID の鍵リングに接続します。 例えば、SERVER1 CA 証明書を CLIENTID が所有しているリング ACRRING に接続します。
        RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
  3. 管理クライアントが接続するサーバーが SSL クライアント証明書のサポートを実装する場合、 クライアントの証明書を作成し、それらをサーバーの鍵リングに追加する必要があります。 サーバーに鍵リングをセットアップする方法については、サーバーの SSL セキュリティーの定義を参照してください。
  4. クライアント・ユーザー ID に、RACF FACILITY クラスの IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING プロファイルに対する読み取りアクセスを与えます。 例えば、クライアント・ユーザー ID が CLIENTID である場 合、以下のコマンドを発行します。
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)
    

次の作業

RACF コマンドの実行が成功すると、RACF フェーズで終了します。




関連タスク
クライアントおよびサーバーの SSL セキュリティーの定義
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/tsec_definsslsecclient.html