Utilice los pasos descritos en este tema para permitir al cliente utilizar certificados digitales.
Antes de empezar
Tenga en cuenta que aquí se presupone que utiliza z/OS Security Server (RACF) como servidor de seguridad. Debe obtener una copia del certificado de la CA (autoridad certificadora) para firmar los certificados del servidor. Los certificados del servidor conectan el cliente con el servidor. También debe tener un ID de usuario con la autoridad apropiada (como por
ejemplo SPECIAL) para utilizar el mandato RACDCERT de
z/OS
Security Server
RACF
(Resource Access Control Facility). Para obtener más información acerca
del mandato RACDCERT, consulte la publicación
z/OS
Security Server
RACF
Command Language Reference (SA22-7687-05), que está disponible en
http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html. Para obtener más información acerca del mandato RACDCERT,
consulte el manual de consulta del lenguaje de mandatos RACF de z/OS Security
Server para su versión de z/OS en la
Biblioteca de Internet de
z/OS.
Acerca de esta tarea
Complete los pasos siguientes de RACF para que el cliente pueda
utilizar certificados digitales. SOAP, SSL (Secure Socket Layer) y
JSSE (Java™ Secure Socket Extensions) utilizan certificados digitales que
tienen claves públicas y privadas. Si el cliente utiliza SOAP, SSL o
JSSE, debe utilizar RACF para almacenar certificados digitales que
tienen claves públicas y privadas para las identidades de usuario bajo
las que se ejecuta el cliente.
Procedimiento
- Para cada programa de cliente administrativo que utiliza SOAP, cree un conjunto de claves para el ID de usuario del cliente. Por ejemplo, si el cliente está ejecutándose con un ID de usuario denominado
CLIENTID, emita el mandato siguiente:
RACDCERT ADDRING(ACRRING) ID(CLIENTID)
- El conjunto de claves creado en el paso anterior debe incluir el certificado público de cualquier certificado de la CA (entidad emisora de certificados) necesario para establecer la confianza en los servidores a los que se conecta el cliente de administración. Para cada certificado de la CA, efectúe los pasos siguientes:
- Determine si este certificado de CA está almacenado
actualmente en RACF. Si es así, registre la etiqueta del certificado existente. Si no es así, debe:
- Recibir cada certificado de la CA utilizado para firmar un certificado de servidor.
Por ejemplo, para recibir el certificado de la CA almacenado en el archivo USER.SERVER1.CA y que verifica un servidor
con el ID de usuario SERVER1, emita el mandato siguiente:
RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
- Conecte cada certificado de la CA del servidor con el conjunto de claves del ID de usuario.
Por ejemplo, para conectar el certificado de la CA SERVER1 con el conjunto ACRRING propiedad de
CLIENTID:
RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
- Si los servidores con los que se conecta el cliente de administración implementan el soporte de certificados de cliente
SSL, debe crear certificados para el cliente y añadirlos a los conjuntos de claves del servidor. Consulte Definición de la seguridad SSL para servidores para obtener instrucciones acerca de cómo establecer conjuntos de claves para los servidores.
- Otorgue al ID de usuario de cliente acceso de lectura, READ,
para los perfiles IRR.DIGTCERT.LIST e IRR.DIGTCERT.LISTRING de la clase
RACF FACILITY. Por ejemplo, si el ID de usuario
de cliente es CLIENTID, emita el mandato siguiente:
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)
Qué hacer a continuación
La fase
RACF
concluye cuando los mandatos
RACF
se han ejecutado correctamente.