Führen Sie die in diesem Artikel beschriebenen Schritte aus, um dem Client die Verwendung digitaler
Zertifikate zu ermöglichen.
Vorbereitende Schritte
In dieser Prozedur wird vorausgesetzt, dass Sie
z/OS Security
Server (RACF) als Sicherheitsserver verwenden.
Sie müssen eine Kopie des CA-Zertifikats (Certificate Authority, Zertifizierungsstelle)
anfordern, das zum Signieren der Serverzertifikate verwendet wird. Mit den Serverzertifikaten wird die Verbindung zwischen dem
Client und dem Server hergestellt. Außerdem müssen Sie eine Benutzer-ID haben, die für die Verwendung des
RACF-Befehls RACDCERT berechtigt ist (z. B. SPECIAL).
Weitere Informationen zum Befehl
RACDCERT finden Sie in der Veröffentlichung
"z/OS Security
Server RACF Command Language Reference" (IBM Form SA22-7687-05)
auf der Webseite
http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html.
Weitere Informationen zum Befehl
RACDCERT finden Sie in der
"z/OS Security Server RACF Command Language Reference" für Ihre z/OS-Version in der Bibliothek "
z/OS Internet
Library".
Informationen zu diesem Vorgang
Führen Sie die folgenden RACF-Schritte aus, um dem Client die Verwendung digitaler
Zertifikate zu ermöglichen. Simple Object Access Protocol (SOAP), Secure Socket Layer (SSL)
und Java Secure Socket Extensions (JSSE) verwenden digitale Zertifikate, die öffentliche und private Schlüssel haben. Wenn Ihr Client SOAP,
SSL oder JSSE verwendet, müssen Sie mit
RACF digitale Zertifikate speichern, die öffentliche und private Schlüssel für die Benutzer-IDs haben, unter denen der Client
ausgeführt wird.
Vorgehensweise
- Erstellen Sie für jedes Verwaltungsclientprogramm, das SOAP verwendet, einen Schlüsselring für die Clientbenutzer-ID. Wenn Ihr Client beispielsweise unter der Benutzer-ID
CLIENTID ausgeführt wird, setzen Sie den folgenden Befehl ab:
RACDCERT ADDRING(ACRRING) ID(CLIENTID)
- Der im vorherigen Schritt erstellte Schlüsselring muss außerdem das öffentliche Zertifikat jedes CA-Zertifikats
enthalten, das erforderlich ist, um das Vertrauen der Server zu erlangen, zu denen Ihr Verwaltungsclient eine Verbindung herstellt. Führen Sie für jedes CA-Zertifikat die folgenden Schritte aus:
- Stellen Sie fest, ob das CA-Zertifikat in RACF gespeichert ist. Ist dies der Fall, notieren Sie den vorhandenen Zertifikatkennsatz. Andernfalls müssen Sie wie folgt vorgehen:
- Empfangen Sie jedes CA-Zertifikat, das zum Signieren eines Serverzertifikats verwendet wird.
Wenn Sie
beispielsweise das CA-Zertifikat empfangen möchten, das in der Datei
USER.SERVER1.CA gespeichert ist und einen Server mit der Benutzer-ID
SERVER1 prüft, setzen Sie den folgenden Befehl ab:
RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
- Verbinden Sie das CA-Zertifikat jedes Servers mit dem Schlüsselring der Clientbenutzer-ID.
Wenn Sie beispielsweise das CA-Zertifikat von SERVER1 mit dem Schlüsselring ACRRING des Eigners
CLIENTID verbinden möchten, setzen Sie den folgenden Befehl ab:
RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
- Falls die Server, zu denen Ihr Verwaltungsclient eine Verbindung herstellt,
SSL-Clientzertifikate unterstützen, müssen Sie Zertifikate für Ihren Client erstellen und diese den Schlüsselringen der Server hinzufügen. Anweisungen zum Konfigurieren von Schlüsselringen für die Server finden Sie im Artikel SSL-Sicherheit für Server definieren.
- Erteilen Sie den Profilen IRR.DIGTCERT.LIST und IRR.DIGTCERT.LISTRING
in der Klasse RACF FACILITY die Berechtigung READ (Lesen) für die Clientbenutzer-ID. Wenn Sie beispielsweise
die Clientbenutzer-ID CLIENTID verwenden, setzen Sie den folgenden Befehl ab:
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)
Nächste Schritte
Die RACF-Phase ist mit erfolgreicher Ausführung der RACF-Befehle abgeschlossen.