[z/OS]

Definición de la seguridad SSL (Secure Sockets Layer) para servidores

Complete estos pasos para que RACF autorice al servidor la utilización de certificados digitales. SSL utiliza certificados digitales y claves públicas y privadas.

Antes de empezar

Debe solicitar un certificado de entidad emisora de certificados (CA) y un certificado firmado para el servidor. Si piensa implementar el soporte para certificados de cliente SSL (Secure Sockets Layer), también debe tener los certificados de la autoridad certificadora de cada autoridad certificadora que verifica los certificados de cliente. Debe tener un ID de usuario con autorización para utilizar el mandato RACDCERT en RACF (Resource Access Control Facility), por ejemplo, autorización SPECIAL.

Acerca de esta tarea

Si el servidor de aplicaciones utiliza SSL, debe utilizar RACF para almacenar certificados digitales, y claves públicas y privadas para las identidades de usuario bajo las que se ejecutan los controladores del servidor.

Procedimiento

  1. Para cada servidor que utiliza SSL, cree un conjunto de claves para ese ID de usuario del controlador de dicho servidor. Ejemplo: el controlador está asociado al ID de usuario denominado ASCR1. Emita el siguiente mandato:
    RACDCERT ADDRING(ACRRING) ID(ASCR1)
  2. Reciba el certificado del servidor de aplicaciones desde la autoridad de certificación. Ejemplo: ha solicitado que un certificado y la entidad emisora de certificados devuelvan el certificado firmado, y lo ha guardado en un archivo llamado ASCR1.CA. Emita el siguiente mandato:
    RACDCERT ID (ASCR1) ADD('ASCR1.CA') WITHLABEL('ACRCERT') PASSWORD('password')
  3. Conecte el certificado firmado con el conjunto de claves del ID de usuario del controlador y haga que el certificado sea el certificado predeterminado. Ejemplo: conecte el certificado con la etiqueta ACRCERT al conjunto de claves ACRRING propiedad de ASCR1. Emita el siguiente mandato:
    RACDCERT ID(ASCR1) CONNECT (ID(ASCR1) LABEL('ACRCERT') RING(ACRRING) DEFAULT)
  4. Si desea que el servidor autentique clientes (soporte de certificados de cliente SSL), complete los pasos siguientes:
    1. Reciba cada certificado de la autoridad de certificación (CA) que verifica los certificados de clientes. Ejemplo: recibir el certificado de CA que verifica un cliente con el ID de usuario CLIENT1. Ese certificado está en un archivo denominado USER.CLIENT1.CA. Emita el siguiente mandato:
      RACDCERT ADD('USER.CLIENT1.CA') WITHLABEL('CLIENT1 CA') CERTAUTH
    2. Otorgue a cada certificado de CA el atributo CERTAUTH.

      Conecte el certificado de cliente de cada autoridad de certificación (CA) con el conjunto de claves del ID de usuario del controlador

      Ejemplo: conecte el certificado de CA CLIENT1 al conjunto ACRRING propiedad de ASCR1.
      RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('CLIENT1 CA') RING(ACRRING))
  5. Otorgue acceso de lectura para IRR.DIGTCERT.LIST y IRR.DIGTCERT.LISTRING en la clase RACF FACILITY al ID de usuario del controlador. Ejemplo: el ID de usuario del controlador es ASCR1. Emita:
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(ASCR1) ACC(READ) 
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(ASCR1) ACC(READ)

Qué hacer a continuación

La fase RACF concluye cuando los mandatos RACF se ejecutan correctamente.


Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_definsslsec
File name: tsec_definsslsec.html