このトピックのステップを使用して、クライアントがデジタル証明書を使用できるようにします。
始める前に
セキュリティー・サーバーとして z/OS® Security Server (RACF®)
を使用していることを前提としていることに注意してください。
サーバー証明書に署名するために使用される認証局 (CA) 証明書のコピーを入手する必要があります。
サーバー証明書は、クライアントをサーバーに接続します。
また、z/OS
Security Server リソース・アクセス管理機能 (RACF) の RACDCERT コマンドを使用するために、適切な権限を備えたユーザー ID を持たなければなりません (例えば、SPECIAL)。
RACDCERT コマンドについて詳しくは、
http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html で入手可能な「z/OS Security Server RACF Command Language Reference」(SA22-7687-05)
を参照してください。
RACDCERT コマンドについて詳しくは、
z/OS Internet Library で、ご使用の z/OS バージョンの「z/OS Security Server RACF Command Language Reference」を参照してください。
このタスクについて
以下の RACF
ステップを実行して、クライアントがデジタル証明書を使用できるようにします。
SOAP、Secure Socket Layer (SSL)、および Java™ Secure Socket Extensions (JSSE) では、公開鍵および秘密鍵を持つデジタル証明書を使用します。
クライアントが SOAP、SSL、または JSSE を使用している場合には、RACF を使用して、クライアントが稼働しているユーザー ID 用の公開鍵および秘密鍵を持つデジタル証明書を保管しなければなりません。
手順
- SOAP を使用する各管理クライアント・プログラムでは、クライアント・ユーザー ID の鍵リングを作成します。 例えば、クライアントが CLIENTID というユーザー ID で稼
働している場合、以下のコマンドを発行します。
RACDCERT ADDRING(ACRRING) ID(CLIENTID)
- 前のステップで作成される鍵リングは、管理クライアントが接続する先のサーバーにおいて信頼を確立するために必要なすべての認証局 (CA) 証明書の公開証明書を含む必要があります。各 CA 証明書のために、次のコマンドを実行します。
- この CA 証明書が現在、RACF に保管されているかどうかを判別します。
保
管されている場合は、既存の証明書ラベルを記録します。保管されていない場合は、以下のこと
を行う必要があります。
- サーバー証明書を証明するために使用する各 CA 証明書を受け取ります。例えば、
USER.SERVER1.CA ファイルに保管され、ユーザー ID SERVER1 でサ
ーバーを検証する CA 証明書を受け取るには、
以下のコマンドを発行します。
RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
- 各サーバーの CA 証明書をクライアント・ユーザー ID の鍵リングに接続します。
例えば、SERVER1 CA 証明書を CLIENTID が所有しているリング ACRRING に接続します。
RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
- 管理クライアントが接続するサーバーが SSL クライアント証明書のサポートを実装する場合、
クライアントの証明書を作成し、それらをサーバーの鍵リングに追加する必要があります。 サーバーに鍵リングをセットアップする方法については、サーバーの SSL セキュリティーの定義を参照してください。
- クライアント・ユーザー ID に、RACF FACILITY クラスの
IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING プロファイルに対する読み取り権限を与えます。 例えば、クライアント・ユーザー ID が CLIENTID である場
合、以下のコマンドを発行します。
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)
次のタスク
RACF
コマンドの実行が成功すると、RACF フェーズで終了します。