[z/OS]

Digitale SSL-Zertifikate und SAF-Schlüsselringe erstellen, die Anwendungen zum Einleiten von HTTPS-Anforderungen verwenden können

Sie können digitale SSL-Zertifikate (Secure Sockets Layer) und SAF-Schlüsselringe (System Authorization Facility) erstellen, die Anwendungen zum Einleiten von HTTPS-Anforderungen verwenden können.

Informationen zu diesem Vorgang

Der Eigner des SAF-Schlüsselrings (und der persönlichen Schlüssel) muss die MVS-Benutzer-ID sein, die mit dem Klassenprofil STARTED der Servantregion eingerichtet wurde. Diese Benutzer-ID muss der Eigner sein, weil die Anwendungen im Adressraum der Servantregion von WebSphere Application Server for z/OS ausgeführt werden. Diese Benutzer-ID ist nicht mit der Controller-Benutzer-ID von WebSphere Application Server for z/OS identisch.

Wenn Sie Keystore- und Truststoredateien in einem hierarchisches Dateisystem (Hierarchical File System, HFS) verwenden, ist die Datei mit einem eindeutigen Namen im Dateisystem gekennzeichnet.

Vorgehensweise

  1. Wenn Sie Resource Access Control Facility (RACF) als Sicherheitsserver verwenden, können Sie einen persönlichen Schlüsselring für Ihre HTTPS-Anwendung generieren. Geben Sie Folgendes ein:
    RACDCERT ID(ASSR1) GENCERT  SUBJECTSDN(CN('J2EE SERVER') O('Z/OS WEBSPHERE') 
    L('POUGHKEEPSIE') SP('NEW YORK') C('US')) SIZE(512)
    WITHLABEL('ASSR1 SERVER CERTIFICATE') SIGNWITH(CERTAUTH LABEL('PVT CA'))

    In diesem Beispiel ist die für die Generierung des eindeutigen Zertifikats für die Servantregion verwendete Zertifizierungsstelle dieselbe, die der Anpassungsjob für die Generierung der Zertifikate für die Server von WebSphere Application Server for z/OS verwendet.

  2. Erstellen Sie einen Schlüsselring mit dem Namen der Benutzer-ID für die Steuerregion:
    RACDCERT ADDRING(S1GRING) ID( ASSR1 )
    Eigner des neuen Schlüsselrings ist die Servant-Benutzer-ID des CA-Zertifikats und des Servant-Server-Zertifikats.
  3. Sie müssen ein CA-Zertifikat haben. Von derselben Zertifizierungsstelle können Sie ein Zertifikat für HTTPS-Anwendungen generieren lassen, das mit dem für die Laufzeitverarbeitung von WebSphere Application Server verwendeten Zertifikat vergleichbar ist. Das CA-Zertifikat für die Erstellung der digitalen Zertifikate wird von der Laufzeit von WebSphere Application Server verwendet und im Rahmen der Systemanpassung (z. B. mit WebSphere z/OS Profile Management Tool oder mit dem Befehl zpmt) erstellt. Dieses CA-Zertifikat kann mit dem gerade erstellten Schlüsselring verbunden werden. Geben Sie dazu Folgendes an:
    RACDCERT ID(ASSR1) CONNECT (RING(S1GRING) LABEL('PVT CA') CERTAUTH)
    Für dieses Beispiel gilt Folgendes:
    • S1GRING steht für den RACF-Schlüsselring
    • ASSR1 steht für die Servant-Benutzer-ID
    • PVT CA steht für die Zertifizierungsstelle

    Wenn das Ziel der Anforderung ein anderer Server mit WebSphere Application Server for z/OS ist, müssen Sie auch das vom HTTPS-Repertoire von WebSphere Application Server for z/OS verwendete CA-Zertifikat (das im Allgemeinen bei der Anpassung konfiguriert wird) in den Schlüsselring importieren, sofern es nicht das Zertifikat ist, das zum Signieren verwendet werden soll. Wenn die Authentifizierung mit Clientzertifikaten angefordert wird, müssen Sie auch die Zertifizierungsstelle Ihrer Anwendung in das HTTPS-Repertoire importieren.

  4. Verbinden Sie wie folgt das persönliche Zertifikat mit Ihrem Schlüsselring:
    RACDCERT ID(ASSR1) CONNECT(ID(ASSR1) LABEL('ASSR1 SERVER CERTIFICATE') RING(S1GRING) DEFAULT)
    Für dieses Beispiel gilt Folgendes:
    • S1GRING steht für den RACF-Schlüsselring
    • ASSR1 steht für die Servant-Benutzer-ID
    • ASSR1 SERVER CERTIFICATE steht für das Serverzertifikat für die Servant-Benutzer-ID
  5. Geben Sie die anpassbaren Informationen ein, die innerhalb eines Sysplex eindeutig sein müssen. Dazu können folgende Informationen gehören:
    • Öffentlicher Schlüssel des Subject
    • DN des Subject (der eine Entität in einem X.509-Zertifikat eindeutig bezeichnet)
      • Allgemeiner Name
      • Titel
      • Name der Organisation
      • Name der Organisationseinheit
      • Ortsbezeichnung
      • Name des Bundeslandes oder der Region
      • Land
    • DN der Zertifizierungsstelle, die das Zertifikat ausstellt
    • Datum, ab dem das Zertifikat gültig ist
    • Verfallsdatum des Zertifikats
    • Versionsnummer
    • Seriennummer
  6. Überprüfen Sie die Ausgabe der Anpassungsjobs, um festzustellen, was konfiguriert wurde. Schauen Sie sich HLQ.DATA.(BBOWBRAK, BBOSBRAK) an und notieren Sie die Einstellungen für den Kennsatz des CA-Zertifikats und die ID für die gestartete Task der Servantregion. Falls Sie eine vorhandene Repertoiredefinition für Web-Services verwenden möchten, notieren Sie den erstellten Schlüsselringnamen.

Ergebnisse

Anmerkung:
Beachten Sie Folgendes:
  • Der Repertoiretyp, auf den die Definition SSLConfig verweist, muss ein JSSE-Repertoire sein. Dieses Repertoire kann mit Referenzen auf Folgendes konfiguriert sein:
    • JKS-Keystore- und Truststoredateien in einer HFS-Datei
    • SAF-Schlüsselringe wie RACFJSSESettings
  • Der Geltungsbereich der Repertoiredefinition hängt vom Typ des Repertoires ab. Beispiel:
    • Wenn das Repertoire auf einen SAF-Schlüsselring verweist, muss der Eigner des Schlüsselrings die MVS-Benutzer-ID des Prozesses sein, die den Schlüsselring verwendet. Die Anpassungsjobs erstellen Schlüsselringe, deren Eigner die Benutzer-ID für gestartete Task des WebSphere Application Server for z/OS-Controllers ist. Web-Service-Clients von WebSphere Application Server werden mit der Benutzer-ID für die gestartete Task der WebSphere Application Server for z/OS-Servantregion ausgeführt. Sie müssen deshalb einen neuen Schlüsselring erstellen, dessen Eigner die Benutzer-ID der Servantregion ist. Web-Service-Clients von WebSphere Application Server verwenden diese Benutzer-ID auch dann, wenn Sie ein vorhandenes SSL-Repertoire angeben.
    • Wenn das Repertoire auf eine HFS-Datei verweist, können die Keystores von allen Prozessen gemeinsam verwendet werden. Falls Sie Keystores und Truststores in einem HFS verwenden, wird eine Datei innerhalb des Dateisystems durch ihren Dateinamen eindeutig bezeichnet.

Einige Verwaltungsschritte für digitale Zertifikate und Schlüsselringe sind erforderlich. So muss beispielsweise die Eigenschaft sslConfig bearbeitet und verwendet werden. Diese ist eine der Assemblierungseigenschaften in der Datei ibm-webservicesclient-bnd.xmi, die vom Benutzer definiert werden können. .


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_createsslsaf
Dateiname:tsec_createsslsaf.html