RACF®
の次のステップを実行して、サーバーがデジタル証明書を使用できるように許可します。
SSL では、デジタル証明書および公開鍵および秘密鍵が使用されます。
始める前に
認証局 (CA) 証明書とサーバー用の署名付き証明書を要求する必要があります。また Secure Sockets Layer (SSL) クライアント証明書サポートを
実装する計画がある場合、クライアント証明書を検査する各認証局からの、
認証局証明書も持っている必要があります。
Resource Access Control Facility
(RACF)
で RACDCERT コマンドを使用できる権限 (例えば、SPECIAL 権限)
を備えたユーザー ID を持っていなければなりません。
このタスクについて
アプリケーション・サーバーで SSL を使用する場合には、RACF を使用してデジタル証明書を保管し、
サーバー・コントローラーの実行に使用されているユーザー ID 用の公開鍵および秘密鍵を使用する必要があります。
手順
- SSL を使用するサーバーごとに、サーバーのコントローラー・ユーザー ID 用の鍵リングを作成します。 例: コントローラーが ASCR1 というユーザー ID と関連付けられている場合には、以下のコマンドを発行します。
RACDCERT ADDRING(ACRRING) ID(ASCR1)
- 認証局からアプリケーション・サーバー用の証明書を受け取ります。 例: 証明書を要求し、認証局から署名された証明書が戻され、
それを ASCR1.CA という名前のファイルに保管しました。以下のコマンドを発行します。
RACDCERT ID (ASCR1) ADD('ASCR1.CA') WITHLABEL('ACRCERT') PASSWORD('password')
- 署名された証明書をコントローラー・ユーザー ID の鍵リングに接続し、その証明書をデフォルトの証明書にします。 例: ACRCERT というラベルの証明書を、 ASCR1 が所有する鍵リング ACRRING に接続します。以下のコマンドを発行します。
RACDCERT ID(ASCR1) CONNECT (ID(ASCR1) LABEL('ACRCERT') RING(ACRRING) DEFAULT)
- サーバー認証クライアント使用する予定の場合 (SSL クライアント証明書サポート)、次のステップを実行します。
- クライアント認証局を検査する各認証局 (CA) 証明書を受信します。 例: ユーザー ID が CLIENT1 のクライアントを検査する CA 証明書を受信します。その証明書が USER.CLIENT1.CA というファイルにある場合、
以下のコマンドを発行します。
RACDCERT ADD('USER.CLIENT1.CA') WITHLABEL('CLIENT1 CA') CERTAUTH
- 各 CA 証明書に CERTAUTH 属性を与えます。
各クライアントの認証局 (CA) 証明書をコントローラー・ユーザー ID の鍵リングに接続します。
例: CLIENT1 CA 証明書を ASCR1 が所有しているリング ACRRING 接続する場合、次のコマンドを出します。
RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('CLIENT1 CA') RING(ACRRING))
- コントローラー・ユーザー ID に、RACF FACILITY クラスの IRR.DIGTCERT.LIST
および IRR.DIGTCERT.LISTRING に対する読み取り権限を与えます。 例: コントローラー・ユーザー ID が ASCR1 の場合、次のコマンドを出します。
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(ASCR1) ACC(READ)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(ASCR1) ACC(READ)
次のタスク
RACF
コマンドが成功すると、RACF
フェーズで終了します。