Führen Sie die folgenden Schritte aus, damit der Server mit RACF
für die Verwendung digitaler Zertifikate berechtigt werden kann. SSL verwendet digitale Zertifikate und öffentliche und private Schlüssel.
Vorbereitende Schritte
Sie müssen für Ihren Server ein CA-Zertifikat und ein signiertes Zertifikat für Ihren Server anfordern. Wenn Sie die Unterstützung für SSL-Clientzertifikate (Secure Sockets
Layer) implementieren möchten, müssen Sie außerdem
ein CA-Zertifikat von jeder Zertifizierungsstelle haben, die Ihre Clientzertifikate prüft.
Sie müssen eine Benutzer-ID verwenden, die berechtigt ist, den Befehl RACDCERT
in Resource Access Control Facility (RACF) zu verwenden (z. B. Berechtigung SPECIAL).
Informationen zu diesem Vorgang
Wenn Ihr Anwendungsserver Secure Sockets Layer (SSL) verwendet, müssen Sie
mit RACF die digitalen Zertifikate und öffentlichen und privaten Schlüssel für die Benutzer-IDs speichern,
unter denen die Server-Controller ausgeführt werden.
Vorgehensweise
- Erstellen Sie für jeden Server, der SSL verwendet, einen Schlüsselring für die Controller-Benutzer-ID
dieses Servers. Beispiel: Ihr Controller ist der Benutzer-ID ASCR1 zugeordnet. Setzen Sie den folgenden Befehl ab:
RACDCERT ADDRING(ACRRING) ID(ASCR1)
- Empfangen Sie das Zertifikat für Ihren Anwendungsserver von der Zertifizierungsstelle. Beispiel:
Sie haben ein Zertifikat angefordert und die
Zertifizierungsstelle hat das signierte Zertifikat an Sie zu zurückgegeben, das Sie in einer Datei mit dem Namen
ASCR1.CA gespeichert haben. Setzen Sie den folgenden Befehl ab:
RACDCERT ID (ASCR1) ADD('ASCR1.CA') WITHLABEL('ACRCERT') PASSWORD('password')
- Ordnen Sie das signierte Zertifikat dem Schlüsselring der Controller-Benutzer-ID
zu und legen Sie das Zertifikat als Standardzertifikat fest. Beispiel:
Ordnen Sie das Zertifikat ACRCERT dem Schlüsselring ACRRING von ASCR1 zu.
Setzen Sie den folgenden Befehl ab:
RACDCERT ID(ASCR1) CONNECT (ID(ASCR1) LABEL('ACRCERT') RING(ACRRING) DEFAULT)
- Wenn die Server die Clients authentifizieren sollen (Unterstützung von SSL-Clientzertifikaten), führen Sie die folgenden
Schritte aus:
- Empfangen Sie jedes CA-Zertifikat, das Ihre Clientzertifikate überprüft: Beispiel: Empfangen Sie das CA-Zertifikat, das den Client
mit der Benutzer-ID CLIENT1 prüft. Dieses Zertifikat ist in einer Datei mit dem Namen USER.CLIENT1.CA gespeichert. Setzen Sie den folgenden Befehl ab:
RACDCERT ADD('USER.CLIENT1.CA') WITHLABEL('CLIENT1 CA') CERTAUTH
- Weisen Sie jedem CA-Zertifikat das Attribut CERTAUTH zu.
Ordnen Sie das CA-Zertifikat jedes Clients dem Schlüsselring der Controller-Benutzer-ID zu.
Beispiel: Ordnen Sie das CA-Zertifikat von CLIENT1 dem Schlüsselring ACRRING von ASCR1 zu.
RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('CLIENT1 CA') RING(ACRRING))
- Erteilen Sie der Controller-Benutzer-ID Lesezugriff auf
IRR.DIGTCERT.LIST und IRR.DIGTCERT.LISTRING in der RACF-Klasse FACILITY. Beispiel:
Die Benutzer-ID des Controllers ist ASCR1. Setzen Sie den folgenden Befehl ab:
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(ASCR1) ACC(READ)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(ASCR1) ACC(READ)
Nächste Schritte
Die RACF-Phase ist mit erfolgreicher Ausführung der RACF-Befehle abgeschlossen.