[z/OS]

サーバーの Secure Sockets Layer セキュリティーの定義

RACF® の次のステップを実行して、サーバーがデジタル証明書を使用できるように許可します。 SSL では、デジタル証明書および公開鍵および秘密鍵が使用されます。

始める前に

認証局 (CA) 証明書とサーバー用の署名付き証明書を要求する必要があります。また Secure Sockets Layer (SSL) クライアント証明書サポートを 実装する計画がある場合、クライアント証明書を検査する各認証局からの、 認証局証明書も持っている必要があります。 Resource Access Control Facility (RACF) で RACDCERT コマンドを使用できる権限 (例えば、SPECIAL 権限) を備えたユーザー ID を持っていなければなりません。

このタスクについて

アプリケーション・サーバーで SSL を使用する場合には、RACF を使用してデジタル証明書を保管し、 サーバー・コントローラーの実行に使用されているユーザー ID 用の公開鍵および秘密鍵を使用する必要があります。

手順

  1. SSL を使用するサーバーごとに、サーバーのコントローラー・ユーザー ID 用の鍵リングを作成します。 : コントローラーが ASCR1 というユーザー ID と関連付けられている場合には、以下のコマンドを発行します。
    RACDCERT ADDRING(ACRRING) ID(ASCR1)
  2. 認証局からアプリケーション・サーバー用の証明書を受け取ります。 : 証明書を要求し、認証局から署名された証明書が戻され、 それを ASCR1.CA という名前のファイルに保管しました。以下のコマンドを発行します。
    RACDCERT ID (ASCR1) ADD('ASCR1.CA') WITHLABEL('ACRCERT') PASSWORD('password')
  3. 署名された証明書をコントローラー・ユーザー ID の鍵リングに接続し、その証明書をデフォルトの証明書にします。 : ACRCERT というラベルの証明書を、 ASCR1 が所有する鍵リング ACRRING に接続します。以下のコマンドを発行します。
    RACDCERT ID(ASCR1) CONNECT (ID(ASCR1) LABEL('ACRCERT') RING(ACRRING) DEFAULT)
  4. サーバー認証クライアント使用する予定の場合 (SSL クライアント証明書サポート)、次のステップを実行します。
    1. クライアント認証局を検査する各認証局 (CA) 証明書を受信します。 : ユーザー ID が CLIENT1 のクライアントを検査する CA 証明書を受信します。その証明書が USER.CLIENT1.CA というファイルにある場合、 以下のコマンドを発行します。
      RACDCERT ADD('USER.CLIENT1.CA') WITHLABEL('CLIENT1 CA') CERTAUTH
    2. 各 CA 証明書に CERTAUTH 属性を与えます。

      各クライアントの認証局 (CA) 証明書をコントローラー・ユーザー ID の鍵リングに接続します。

      : CLIENT1 CA 証明書を ASCR1 が所有しているリング ACRRING 接続する場合、次のコマンドを出します。
      RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('CLIENT1 CA') RING(ACRRING))
  5. コントローラー・ユーザー ID に、RACF FACILITY クラスの IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING に対する読み取り権限を与えます。 : コントローラー・ユーザー ID が ASCR1 の場合、次のコマンドを出します。
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(ASCR1) ACC(READ) 
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(ASCR1) ACC(READ)

次のタスク

RACF コマンドが成功すると、RACF フェーズで終了します。


トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_definsslsec
ファイル名:tsec_definsslsec.html