[z/OS]

Daemon Secure Sockets Layer

Utilice el panel de la consola administrativa para modificar el puerto y los valores de puerto SSL (Secure Sockets Layer), así como para especificar los valores SSL (el repertorio SSL). El repertorio predeterminado es el mismo que se ha utilizado para el servidor, que es un repertorio SystemSSL IIOP. Durante la inicialización del daemon, se intenta la inicialización del uso SSL si la seguridad está habilitada y se encuentra un repertorio válido. Para desactivar el puerto SSL del daemon, se debe crear una variable de WebSphere a nivel de célula (DAEMON_security_disable_daemon_ssl) y se debe establecer como 1. El valor predeterminado de esta variable es 0.

SSL se puede utilizar para proteger ubicaciones en el daemon SSL utilizando el daemon de servicio de ubicación si:
  • La seguridad administrativa está habilitada
  • Se configura un repertorio SSL de daemon en la consola administrativa (el repertorio SSL de daemon hace referencia a un conjunto de claves RACF válido que pertenece al ID de usuario de MVS asociado con el proceso de daemon)
  • Se han definido un certificado y un conjunto de claves
En la consola administrativa, pulse Administración del sistema > Grupos de nodos > nombre_grupo_nodos_sysplex. En Propiedades adicionales, pulse Servicio de ubicación de z/OS.
Daemon de servicio de ubicación 
Este panel especifica los valores de configuración del daemon de servicio de ubicación para esta célula.  
Los cambios realizados en estos valores se aplican a
toda la célula y a la instancia del daemon de servicio de ubicación 
de cada nodo de la célula.

Nombre de trabajo BBODMNC                           Especifica el nombre de trabajo z/OS del
                                                    daemon de servicio de ubicación.
Nombre host   BOSSXXXX.PLEX1.L2.IBM.COM         Especifica el nombre de host que se 
                                                    va a utilizar para contactar con
el daemon de servicio de ubicación.
Puerto            5755                              Especifica el puerto de escucha
de comunicaciones no cifradas
                                                    del daemon de servicio de
ubicación.
Puerto SSL        5756                              Especifica el puerto de escucha
de comunicaciones cifradas
                                                    del daemon de servicio de
ubicación.
Valor SSL         PLEX1Manager/DefaultIIOPSSL       Especifica una lista de valores
SSL predefinidos 
                                                    que se pueden elegir para las conexiones.
                                                    Se configuran en el panel de repertorio de
                                                    SSL.
Los protocolos SSL y TLS pueden establecerse en el daemon de z/OS utilizando las siguientes variables de WebSphere. El establecimiento de la variable en 1 habilita el protocolo, mientras que 0 lo inhabilita.
DAEMON_com_ibm_DAEMON_protocol_TLSv1_enabled    //* predeterminado 1
DAEMON_com_ibm_DAEMON_protocol_TLSv1_1_enabled  //* predeterminado 0
DAEMON_com_ibm_DAEMON_protocol_TLSv1_2_enabled  //* predeterminado 0
                                                             
DAEMON_com_ibm_DAEMON_protocol_SSLv2_enabled    //* predeterminado 0
DAEMON_com_ibm_DAEMON_protocol_SSLv3_enabled    //* predeterminado 1
Puede utilizar la herramienta de gestión de perfiles de WebSphere z/OS o el mandato zpmt para especificar información de autenticación, incluido el ID de usuario, el UID y el puerto SSL del daemon. Se generan mandatos RACF para crear un conjunto de claves que utilizará el servidor (el valor predeterminado es WASKeyring). La herramienta de gestión de perfiles de z/OS o el mandato zpmt genera el conjunto de claves del daemon y el certificado. Para generar el conjunto de claves del daemon y el certificado mediante la herramienta de gestión de perfiles de z/OS, seleccione Seguridad Dominio > Personalización SSL > Habilitar SSL en el daemon del servicio de ubicación. Si escribe S al lado de esta opción, se generan los mandatos RACF para realizar las siguientes tareas:
  • Crear un conjunto de claves del daemon y el certificado
  • Conectar el certificado y los certificados de CA (autoridad certificadora) con el conjunto de claves.
Importante: Esta opción no controla el uso de la SSL del daemon.
Esto es correcto si los ID de usuario son los mismos, pero si el daemon tiene un ID de usuario independiente, consulte Configuración de un conjunto de claves para que lo utilice WebSphere Application Server para z/OS. Los valores seleccionados los elige la consola administrativa.

Si se asigna al proceso del daemon el mismo ID de usuario de MVS que se asigna a un WebSphere Application Server seguro, el conjunto de claves que se utiliza para proteger WebSphere Application Server también se puede utilizar para proteger las solicitudes del daemon. Si no se asigna al proceso del daemon el mismo ID de usuario de MVS que se asigna a un WebSphere Application Server seguro, se recomienda realizar la configuración de la SSL del daemon como la configuración de WebSphere Application Server. Modifique los mandatos de trabajo de personalización generados en BBOCBRAK (o HLQ.DATA(BBODBRAK) en WebSphere Application Server, Network Deployment) para seguir los pasos de Configuración de un conjunto de claves para que lo utilice WebSphere Application Server for z/OS.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_daemonssl
File name: csec_daemonssl.html