[z/OS]

Définition de la sécurité SSL (Secure Sockets Layer) pour les serveurs

Cette procédure permet à RACF d'autoriser le serveur à utiliser des certificats numériques. SSL utilise les certificats numériques ainsi que les clés publiques et privées.

Avant de commencer

Vous devez demander un certificat d'autorité de certification (CA) et un certificat signé pour votre serveur. Si vous prévoyez d'implémenter une prise en charge des certificats client SSL, vous devez également avoir des certificats CA de chaque autorité de certification qui vérifie vos certificats clients. Vous devez disposer d'un ID utilisateur doté des droits nécessaires pour utiliser la commande RACDCERT dans RACF (Resource Access Control Facility) (par exemple, droit SPECIAL).

Pourquoi et quand exécuter cette tâche

Si le serveur d'applications utilise SSL, vous devez utiliser RACF pour stocker les certificats numériques et utiliser les clés publiques et privées pour les identités utilisateur sous lesquelles les contrôleurs du serveur sont exécutés.

Procédure

  1. Pour chaque serveur utilisant SSL, créez un fichier de clés pour l'ID utilisateur du contrôleur de ce serveur. Exemple : Votre contrôleur est associé à l'ID utilisateur ASCR1. Exécutez la commande suivante :
    RACDCERT ADDRING(ACRRING) ID(ASCR1)
  2. Recevez de l'autorité de certification le certificat de votre serveur d'applications. Exemple : Vous avez demandé un certificat et l'autorité de certification vous a renvoyé le certificat signé, que vous avez stocké dans un fichier appelé ASCR1.CA. Exécutez la commande suivante :
    RACDCERT ID (ASCR1) ADD('ASCR1.CA') WITHLABEL('ACRCERT') PASSWORD('password')
  3. Connectez le certificat signé au fichier de clés de l'ID utilisateur du contrôleur et faites du certificat le certificat par défaut. Exemple : Connectez le certificat intitulé ACRCERT au fichier de clés ACRRING dont est propriétaire ASCR1. Exécutez la commande suivante :
    RACDCERT ID(ASCR1) CONNECT (ID(ASCR1) LABEL('ACRCERT') RING(ACRRING) DEFAULT)
  4. Si vous prévoyez de faire authentifier les clients par le serveur (prise en charge des certificats client SSL), suivez la procédure ci-après :
    1. Recevez chaque certificat CA qui vérifie vos certificats client. Exemple : Recevez le certificat CA qui vérifie un client dont l'ID utilisateur est ID CLIENT1. Le certificat se trouve dans un fichier appelé USER.CLIENT1.CA. Exécutez la commande suivante :
      RACDCERT ADD('USER.CLIENT1.CA') WITHLABEL('CLIENT1 CA') CERTAUTH
    2. Donnez l'attribut CERTAUTH à chaque certificat CA.

      Connectez le certificat CA de chaque client au fichier de clés de l'ID utilisateur du contrôleur.

      Exemple : connectez le certificat CA CLIENT1 au fichier de clés ACRRING détenu par ASCR1.
      RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('CLIENT1 CA') RING(ACRRING))
  5. Accordez à l'ID utilisateur du contrôleur le droit d'accès en lecture aux profils IRR.DIGTCERT.LIST et IRR.DIGTCERT.LISTRING dans la classe RACF FACILITY. Exemple : Votre ID utilisateur de contrôleur est ASCR1. Exécutez les commandes suivantes :
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(ASCR1) ACC(READ) 
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(ASCR1) ACC(READ)

Que faire ensuite

Une fois que les commandes RACF aboutissent, les opérations RACF sont considérées comme terminées.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_definsslsec
Nom du fichier : tsec_definsslsec.html