[z/OS]

SSL-Sicherheit für Clients und Server definieren

Führen Sie die in diesem Artikel beschriebenen Schritte aus, um dem Client die Verwendung digitaler Zertifikate zu ermöglichen.

Vorbereitende Schritte

In dieser Prozedur wird vorausgesetzt, dass Sie z/OS Security Server (RACF) als Sicherheitsserver verwenden. Sie müssen eine Kopie des CA-Zertifikats (Certificate Authority, Zertifizierungsstelle) anfordern, das zum Signieren der Serverzertifikate verwendet wird. Mit den Serverzertifikaten wird die Verbindung zwischen dem Client und dem Server hergestellt. Außerdem müssen Sie eine Benutzer-ID haben, die für die Verwendung des RACF-Befehls RACDCERT berechtigt ist (z. B. SPECIAL). Weitere Informationen zum Befehl RACDCERT finden Sie in der Veröffentlichung "z/OS Security Server RACF Command Language Reference" (IBM Form SA22-7687-05) auf der Webseite http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html. Weitere Informationen zum Befehl RACDCERT finden Sie in der "z/OS Security Server RACF Command Language Reference" für Ihre z/OS-Version in der Bibliothek "z/OS Internet Library".

Informationen zu diesem Vorgang

Führen Sie die folgenden RACF-Schritte aus, um dem Client die Verwendung digitaler Zertifikate zu ermöglichen. Simple Object Access Protocol (SOAP), Secure Socket Layer (SSL) und Java Secure Socket Extensions (JSSE) verwenden digitale Zertifikate, die öffentliche und private Schlüssel haben. Wenn Ihr Client SOAP, SSL oder JSSE verwendet, müssen Sie mit RACF digitale Zertifikate speichern, die öffentliche und private Schlüssel für die Benutzer-IDs haben, unter denen der Client ausgeführt wird.

Vorgehensweise

  1. Erstellen Sie für jedes Verwaltungsclientprogramm, das SOAP verwendet, einen Schlüsselring für die Clientbenutzer-ID. Wenn Ihr Client beispielsweise unter der Benutzer-ID CLIENTID ausgeführt wird, setzen Sie den folgenden Befehl ab:
    RACDCERT ADDRING(ACRRING) ID(CLIENTID)
  2. Der im vorherigen Schritt erstellte Schlüsselring muss außerdem das öffentliche Zertifikat jedes CA-Zertifikats enthalten, das erforderlich ist, um das Vertrauen der Server zu erlangen, zu denen Ihr Verwaltungsclient eine Verbindung herstellt. Führen Sie für jedes CA-Zertifikat die folgenden Schritte aus:
    1. Stellen Sie fest, ob das CA-Zertifikat in RACF gespeichert ist. Ist dies der Fall, notieren Sie den vorhandenen Zertifikatkennsatz. Andernfalls müssen Sie wie folgt vorgehen:
      1. Empfangen Sie jedes CA-Zertifikat, das zum Signieren eines Serverzertifikats verwendet wird. Wenn Sie beispielsweise das CA-Zertifikat empfangen möchten, das in der Datei USER.SERVER1.CA gespeichert ist und einen Server mit der Benutzer-ID SERVER1 prüft, setzen Sie den folgenden Befehl ab:
        RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
      2. Verbinden Sie das CA-Zertifikat jedes Servers mit dem Schlüsselring der Clientbenutzer-ID. Wenn Sie beispielsweise das CA-Zertifikat von SERVER1 mit dem Schlüsselring ACRRING des Eigners CLIENTID verbinden möchten, setzen Sie den folgenden Befehl ab:
        RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
  3. Falls die Server, zu denen Ihr Verwaltungsclient eine Verbindung herstellt, SSL-Clientzertifikate unterstützen, müssen Sie Zertifikate für Ihren Client erstellen und diese den Schlüsselringen der Server hinzufügen. Anweisungen zum Konfigurieren von Schlüsselringen für die Server finden Sie im Artikel SSL-Sicherheit für Server definieren.
  4. Erteilen Sie den Profilen IRR.DIGTCERT.LIST und IRR.DIGTCERT.LISTRING in der Klasse RACF FACILITY die Berechtigung READ (Lesen) für die Clientbenutzer-ID. Wenn Sie beispielsweise die Clientbenutzer-ID CLIENTID verwenden, setzen Sie den folgenden Befehl ab:
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)

Nächste Schritte

Die RACF-Phase ist mit erfolgreicher Ausführung der RACF-Befehle abgeschlossen.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_definsslsecclient
Dateiname:tsec_definsslsecclient.html