[z/OS]

Definición de la seguridad SSL para clientes y servidores

Utilice los pasos descritos en este tema para permitir al cliente utilizar certificados digitales.

Antes de empezar

Tenga en cuenta que aquí se presupone que utiliza z/OS Security Server (RACF) como servidor de seguridad. Debe obtener una copia del certificado de la CA (autoridad certificadora) para firmar los certificados del servidor. Los certificados del servidor conectan el cliente con el servidor. También debe tener un ID de usuario con la autoridad apropiada (como por ejemplo SPECIAL) para utilizar el mandato RACDCERT de z/OS Security Server RACF (Resource Access Control Facility). Para obtener más información acerca del mandato RACDCERT, consulte la publicación z/OS Security Server RACF Command Language Reference (SA22-7687-05), que está disponible en http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html. Para obtener más información acerca del mandato RACDCERT, consulte el manual de consulta del lenguaje de mandatos RACF de z/OS Security Server para su versión de z/OS en la Biblioteca de Internet de z/OS.

Acerca de esta tarea

Complete los pasos siguientes de RACF para que el cliente pueda utilizar certificados digitales. SOAP, SSL (Secure Socket Layer) y JSSE (Java™ Secure Socket Extensions) utilizan certificados digitales que tienen claves públicas y privadas. Si el cliente utiliza SOAP, SSL o JSSE, debe utilizar RACF para almacenar certificados digitales que tienen claves públicas y privadas para las identidades de usuario bajo las que se ejecuta el cliente.

Procedimiento

  1. Para cada programa de cliente administrativo que utiliza SOAP, cree un conjunto de claves para el ID de usuario del cliente. Por ejemplo, si el cliente está ejecutándose con un ID de usuario denominado CLIENTID, emita el mandato siguiente:
    RACDCERT ADDRING(ACRRING) ID(CLIENTID)
  2. El conjunto de claves creado en el paso anterior debe incluir el certificado público de cualquier certificado de la CA (entidad emisora de certificados) necesario para establecer la confianza en los servidores a los que se conecta el cliente de administración. Para cada certificado de la CA, efectúe los pasos siguientes:
    1. Determine si este certificado de CA está almacenado actualmente en RACF. Si es así, registre la etiqueta del certificado existente. Si no es así, debe:
      1. Recibir cada certificado de la CA utilizado para firmar un certificado de servidor. Por ejemplo, para recibir el certificado de la CA almacenado en el archivo USER.SERVER1.CA y que verifica un servidor con el ID de usuario SERVER1, emita el mandato siguiente:
        RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
      2. Conecte cada certificado de la CA del servidor con el conjunto de claves del ID de usuario. Por ejemplo, para conectar el certificado de la CA SERVER1 con el conjunto ACRRING propiedad de CLIENTID:
        RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
  3. Si los servidores con los que se conecta el cliente de administración implementan el soporte de certificados de cliente SSL, debe crear certificados para el cliente y añadirlos a los conjuntos de claves del servidor. Consulte Definición de la seguridad SSL para servidores para obtener instrucciones acerca de cómo establecer conjuntos de claves para los servidores.
  4. Otorgue al ID de usuario de cliente acceso de lectura, READ, para los perfiles IRR.DIGTCERT.LIST e IRR.DIGTCERT.LISTRING de la clase RACF FACILITY. Por ejemplo, si el ID de usuario de cliente es CLIENTID, emita el mandato siguiente:
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)

Qué hacer a continuación

La fase RACF concluye cuando los mandatos RACF se han ejecutado correctamente.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_definsslsecclient
File name: tsec_definsslsecclient.html