[z/OS]

Définition de la sécurité SSL pour les clients et les serveurs

Les étapes de cette rubrique permettent d'autoriser le client à utiliser des certificats numériques.

Avant de commencer

Cette procédure part du principe que vous utilisez z/OS Security Server (RACF) comme serveur de sécurité. Vous devez disposer d'une copie du certificat d'autorité de certification utilisé pour la signature des certificats de serveur. Les certificats de serveur connectent le client au serveur. Vous devez également disposer d'un ID utilisateur doté des droits appropriés (par exemple, SPECIAL) pour utiliser la commande RACDCERT RACF (Security Server Resource Access Control Facility)z/OS. Pour plus d'informations sur la commande RACDCERT, reportez-vous au manuel "z/OS Security Server RACF Command Language Reference" (SA22-7687-05), disponible à l'adresse http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html. Pour plus d'informations sur la commande RACDCERT, reportez-vous au document z/OS Security Server RACF Command Language Reference correspondant à votre version z/OS sur le site z/OS Internet Library.

Pourquoi et quand exécuter cette tâche

Pour que le client soit autorisé à utiliser des certificats numériques, effectuez la procédure RACF ci-après. SOAP, SSL (Secure Socket Layer) et JSSE (Java™ Secure Socket Extensions) utilisent des certificats numériques possédant des clés publiques et privées. Si le client utilise SOAP, SSL ou JSSE, vous devez faire appel à RACF pour stocker les certificats numériques dotés de clés publiques et privées pour les identités utilisateur sous lesquelles s'exécute le client.

Procédure

  1. Pour chaque programme client d'administration qui utilise SOAP, créez un fichier de clés pour l'ID utilisateur client. Par exemple, si le client s'exécute avec l'ID utilisateur CLIENTID, entrez la commande :
    RACDCERT ADDRING(ACRRING) ID(CLIENTID)
  2. Le fichier de clés créé à l'étape précédente doit contenir le certificat public de toutes les autorités de certification requis pour établir des relations de confiance avec les serveurs auxquels se connecte votre client d'administration. Pour chaque certificat d'autorité de certification, procédez comme suit :
    1. Déterminez si ce certificat d'autorité de certification est stocké dans RACF. Si tel est le cas, enregistrez le label de certificat existant. Sinon :
      1. Recevez chacun des certificats d'autorité de certification utilisés pour signer un certificat de serveur. Par exemple, pour recevoir le certificat d'autorité de certification stocké dans le fichier USER.SERVER1.CA et qui vérifie un serveur dont l'ID est SERVER1, entrez la commande :
        RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
      2. Associez chacun des certificats d'autorité de certification du serveur au fichier de clés de l'ID utilisateur client. Par exemple, pour associer le certificat de l'autorité de certification SERVER1 au fichier de clés ACRRING détenu par CLIENTID, entrez :
        RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
  3. Si les serveurs auxquels se connecte votre client d'administration implémentent la prise en charge des certificats client SSL, vous devez créer des certificats pour le client et les ajouter dans les fichiers de clés. Pour plus d'informations sur la configuration de fichiers de clés pour les serveurs, voir Définition de la sécurité SSL pour les serveurs.
  4. Accordez à l'ID utilisateur client le droit d'accès en lecture (READ) aux profils IRR.DIGTCERT.LIST and IRR.DIGTCERT.LISTRING dans la classe RACF FACILITY. Par exemple, si le client s'exécute avec l'ID utilisateur CLIENTID, entrez la commande :
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)

Que faire ensuite

Une fois que les commandes RACF aboutissent, les opérations RACF sont considérées comme terminées.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_definsslsecclient
Nom du fichier : tsec_definsslsecclient.html