[z/OS]

Création de certificats numériques SSL (Secure Sockets Layer) et de fichiers de clés SAF (System Authorization) pour permettre aux applications de soumettre des demandes HTTPS

Vous pouvez créer des certificats numériques SSL (Secure Sockets Layer) et des fichiers de clés SAF (System Authorization Facility) pour permettre aux applications de soumettre des demandes HTTPS.

Pourquoi et quand exécuter cette tâche

Le propriétaire du fichier de clés SAF (et des clés personnelles) doit être l'ID utilisateur MVS établi par le profil de la classe STARTED de la région serviteur. Cet ID utilisateur doit être le propriétaire car ces applications s'exécutent dans l'adresse de la région serviteur de WebSphere Application Server for z/OS. Il est différent de l'ID utilisateur du contrôleur WebSphere Application Server for z/OS.

Si vous utilisez des fichiers de clés et des magasins de tiers dignes de confiance sur un système HFS, un nom de fichier identifie de manière unique le fichier au sein du système de fichiers.

Procédure

  1. Si vous utilisez RACF (Resource Access Control Facility) comme serveur de sécurité, vous pouvez générer un fichier de clés personnel pour l'application HTTPS en indiquant :
    RACDCERT ID(ASSR1) GENCERT  SUBJECTSDN(CN('J2EE SERVER') O('Z/OS WEBSPHERE') 
    L('POUGHKEEPSIE') SP('NEW YORK') C('US')) SIZE(512) 
    WITHLABEL('ASSR1 SERVER CERTIFICATE') SIGNWITH(CERTAUTH LABEL('PVT CA'))

    Dans cet exemple, l'autorité de certification utilisée pour générer le certificat unique de la région serviteur est identique à celle utilisée pour générer les certificats des serveurs WebSphere Application Server for z/OS lors de la procédure de personnalisation.

  2. Créez un fichier de clés portant le même nom que celui utilisé pour l'ID utilisateur de la région de contrôle :
    RACDCERT ADDRING(S1GRING) ID( ASSR1 )
    Le fichier de clés est détenu par l'ID utilisateur serviteur du certificat de l'autorité de certification et du serveur serviteur.
  3. Vous devez disposer d'un certificat émis par une autorité de certification. Vous pouvez décider d'utiliser la même autorité de certification pour générer le certificat utilisé par les applications HTTPS, comparable au certificat utilisé pour le traitement de l'environnement d'exécution WebSphere. Le certificat de l'autorité de certification utilisé pour créer les certificats numériques est utilisé par l'environnement d'exécution de WebSphere Application Server et est créé lors de la procédure de personnalisation (à l'aide de l'outil de gestion de profils de WebSphere z/OS ou de la commande zpmt). Vous pouvez associer le certificat de l'autorité de certification au fichier de clés que vous venez de créer en entrant :
    RACDCERT ID(ASSR1) CONNECT (RING(S1GRING) LABEL('PVT CA') CERTAUTH)
    Dans cet exemple :
    • S1GRING représente le fichier de clés RACF
    • ASSR1 représente l'ID utilisateur serviteur.
    • PVT CA représente l'autorité de certification.

    Notez que si la cible de la demande est un autre serveur WebSphere Application Server for z/OS, vous devez aussi importer le certificat de l'autorité de certification utilisé par le répertoire HTTPS de WebSphere Application Server for z/OS, (généralement configuré lors de la procédure de personnalisation) dans le fichier de clés, s'il est différent du signataire du certificat. Si vous devez effectuer une authentification à l'aide de certificats client, vous devez également importer le certificat de l'autorité de certification dans le répertoire HTTPS.

  4. Associez le certificat personnel au fichier de clés :
    RACDCERT ID(ASSR1) CONNECT(ID(ASSR1) LABEL('ASSR1 SERVER CERTIFICATE') RING(S1GRING) DEFAULT)
    Dans cet exemple :
    • S1GRING représente le fichier de clés RACF
    • ASSR1 représente l'ID utilisateur serviteur.
    • ASSR1 SERVER CERTIFICATE représente le certificat serveur de l'ID utilisateur serviteur.
  5. Entrez les informations personnalisables qui doivent être uniques au sein du sysplex. Elle peuvent inclure :
    • Clé publique du sujet
    • Le nom distinctif du sujet (qui identifie de manière unique une entité dans un certificat X.509)
      • Common Name
      • Un titre
      • Un nom d'organisation
      • Un nom d'unité organisationnelle
      • Un nom de localité
      • Un nom de département ou de province
      • Country
    • Le nom distinctif de l'autorité de certification qui a émis le certificat
    • La date de début de validité du certificat
    • La date d'expiration du certificat
    • Le numéro de version
    • Le numéro de série
  6. Vérifiez les données générées par les travaux de personnalisation pour vérifier les éléments configurés. Recherchez HLQ.DATA.(BBOWBRAK, BBOSBRAK s'ils ont été sauvegardés), et notez les paramètres du certificat émis par l'autorité de certification, l'identité de la tâche lancée par la région serviteur. Si vous souhaitez utiliser une définition de répertoire existante pour les services Web, le nom du fichier de clés est créé.

Résultats

Remarque :
Prenez en compte les éléments suivants :
  • Le type de répertoire désigné par la définition SSLConfig doit être un répertoire JSEE (Java™ Secure Socket Extension). Ce répertoire peut être configuré pour faire référence aux éléments suivants :
    • Fichier de clés JKS (Java Key Store) et fichiers de tiers dignes de confiance dans un système de fichiers HFS
    • Fichiers de clés SAF, tels que RACFJSSESettings
  • La portée de la définition du répertoire dépend du type de répertoire. Exemple :
    • Quand le répertoire fait référence à un fichier de clés SAF, ce fichier doit appartenir à l'ID utilisateur MVS du processus qui l'utilise. Les travaux de personnalisation créent des fichiers de clés qui sont détenus par l'ID utilisateur de la tâche lancée par le contrôleur WebSphere Application Server for z/OS. Les clients de services Web WebSphere Application Server s'exécutent sous l'ID utilisateur de la tâche de la région serviteur WebSphere Application Server for z/OS qui a été lancée. Cela signifie que vous devez créer un fichier de clés détenu par l'ID utilisateur de la région serviteur. Cet ID est utilisé par les clients de services Web WebSphere Application Server même si vous indiquez un répertoire SSL existant.
    • Lorsque le répertoire fait référence à un fichier HFS, tous les processus peuvent partager les fichiers de clés. Si vous utilisez des fichiers de clés et des fichiers de clés certifiées sur un système HFS, un nom de fichier identifie de manière unique le fichier au sein du système de fichiers.

Il est nécessaire de gérer certains certificats numériques et certains fichiers de clés pour modifier et utiliser la propriété sslConfig, qui est l'une des propriétés d'assemblage deibm-webservicesclient-bnd.xmi que l'utilisateur peut définir. .


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_createsslsaf
Nom du fichier : tsec_createsslsaf.html