[z/OS]

Creación de certificados digitales SSL (Secure Sockets Layer) y conjuntos de claves SAF (System Authorization Facility) que pueden utilizar las aplicaciones para iniciar las solicitudes HTTPS.

Puede crear certificados digitales SSL (Secure Sockets Layer) y conjuntos de claves SAF (System Authorization Facility) para que los utilicen las aplicaciones para iniciar las solicitudes HTTPS.

Acerca de esta tarea

El propietario del conjunto de claves SAF (y de las claves personales) debe ser el ID de usuario de MVS establecido mediante el perfil de la clase STARTED de la región de servicio. Este ID de usuario debe ser el propietario porque estas aplicaciones se ejecutan en la dirección de región sirviente de WebSphere Application Server para z/OS. Este ID de usuario es distinto del ID de usuario de controlador de WebSphere Application Server para z/OS.

Si ve almacenes de claves y almacenes de confianza en un HFS (Hierarchical File System), un nombre de archivo identifica de forma exclusiva el archivo dentro del sistema de archivos.

Procedimiento

  1. Si va a utilizar RACF (Resource Access Control Facility) como servidor de seguridad, puede generar un conjunto de claves personal que debe utilizar la aplicación HTTPS especificando:
    RACDCERT ID(ASSR1) GENCERT  SUBJECTSDN(CN('J2EE SERVER') O('Z/OS WEBSPHERE') 
    L('POUGHKEEPSIE') SP('NEW YORK') C('US')) SIZE(512) 
    WITHLABEL('ASSR1 SERVER CERTIFICATE') SIGNWITH(CERTAUTH LABEL('PVT CA'))

    En este ejemplo, la autoridad de certificación utilizada para generar el certificado de región sirviente exclusivo es el mismo que utiliza el trabajo de personalización para generar los certificados para los servidores de WebSphere Application Server para z/OS.

  2. Cree un conjunto de claves con el mismo nombre que se utiliza para el ID de usuario de la región de control:
    RACDCERT ADDRING(S1GRING) ID( ASSR1 )
    El nuevo conjunto de claves es propiedad del ID de usuario para el certificado de la autoridad de certificación y el certificado del servidor sirviente.
  3. Debe disponer de un certificado de autoridad de certificación (un certificado de una autoridad de certificación). Puede elegir utilizar la misma autoridad de certificación para generar un certificado utilizado por aplicaciones HTTPS, que es similar al certificado utilizado para el proceso del módulo ejecutable de WebSphere Application Server. El módulo ejecutable de WebSphere Application Server utiliza el certificado de la autoridad de certificación que se utiliza para crear los certificados digitales y este certificado se crea durante la personalización del sistema (y se puede crear mediante el mandato zpmt o la herramienta de gestión de perfiles de WebSphere para z/OS). Puede conectar este certificado de autoridad de certificación para el conjunto de claves que acaba de crear especificando:
    RACDCERT ID(ASSR1) CONNECT (RING(S1GRING) LABEL('PVT CA') CERTAUTH)
    Para este ejemplo:
    • S1GRING representa el conjunto de claves de RACF.
    • ASSR1 representa el ID de usuario sirviente.
    • PVT CA representa la autoridad de certificación.

    Tenga en cuenta que si el destino de la solicitud es otro servidor de WebSphere Application Server para z/OS, debe importar también el certificado de autoridad de certificación utilizado por el repertorio HTTPS de WebSphere Application Server para z/OS (que se configura por lo general durante la personalización) al conjunto de claves si es distinto del firmante del certificado. Si se solicita una autenticación que utilice certificados de cliente, debe importar también la autoridad de certificación de la aplicación al repertorio HTTPS.

  4. Conecte el certificado personal con el conjunto de claves:
    RACDCERT ID(ASSR1) CONNECT(ID(ASSR1) LABEL('ASSR1 SERVER CERTIFICATE') RING(S1GRING) DEFAULT)
    Para este ejemplo:
    • S1GRING representa el conjunto de claves de RACF.
    • ASSR1 representa el ID de usuario sirviente.
    • ASSR1 SERVER CERTIFICATE representa el certificado de servidor para el ID de usuario sirviente.
  5. Entre la información personalizable que tiene que ser exclusiva en un sysplex. Esto puede incluir:
    • la clave pública del sujeto;
    • el nombre distinguido del sujeto (que identifica de forma exclusiva una entidad en un certificado de X.509);
      • Nombre común
      • el título;
      • el nombre de la organización;
      • el nombre de la unidad organizativa;
      • el nombre de la localidad;
      • el nombre del estado o la provincia;
      • País
    • el nombre distinguido de la autoridad de certificación que emite el certificado;
    • la fecha desde la que el certificado es válido;
    • la fecha de caducidad del certificado;
    • el número de versión y
    • el número de serie.
  6. Verifique la salida de los trabajos de personalización para ver qué está configurado. Examine HLQ.DATA.(BBOWBRAK, BBOSBRAK si se han guardado) y registre los valores de la etiqueta del certificado de autoridad de certificación, la identidad de la tarea iniciada de la región sirviente. Si desea utilizar una definición de repertorio existente para los servicios web, se crea el nombre de conjunto de claves.

Resultados

Nota:
Tenga en cuenta que:
  • El tipo de repertorio al que apunta la definición de SSLConfig debe ser un repertorio de JSSE (Java™ Secure Socket Extension). Este repertorio se puede configurar para hacer referencia a:
    • los archivos de almacén de claves JKS (Java Key Store) y de almacén de confianza de un archivo de HFS y
    • los conjuntos de claves SAF como RACFJSSESettings.
  • El ámbito de la definición de repertorio depende del tipo de repertorio. Por ejemplo:
    • Cuando el repertorio hace referencia a un conjunto de claves SAF, el conjunto de claves debe ser propiedad del ID de usuario de MVS del proceso que lo utilice. Los trabajos de personalización crean conjuntos de claves que son propiedad del ID de usuario de la tarea iniciada por el controlador de WebSphere Application Server para z/OS. Los clientes de servicio web de WebSphere Application Server se ejecutan utilizando el ID de usuario de la tarea iniciada por la región sirviente de WebSphere Application Server para z/OS. Esto significa que debe crear un nuevo conjunto de claves para que sea propiedad del ID de usuario de la región sirviente. Los clientes de los servicios web de WebSphere Application Server utilizan este ID de usuario aunque especifique un repertorio SSL existente.
    • Cuando el repertorio hace referencia a un archivo HFS, todos los procesos pueden compartir los almacenes de claves. Si ve almacenes de claves y almacenes de confianza en un HFS, un nombre de archivo identifica de forma exclusiva el archivo dentro del sistema de archivos.

Se exige gestión de certificados digitales y conjuntos de claves para editar y utilizar la propiedad sslConfig, que es una de las propiedades de ensamblaje de ibm-webservicesclient-bnd.xmi definibles por el usuario. .


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_createsslsaf
File name: tsec_createsslsaf.html