[z/OS]

애플리케이션이 HTTPS 요청을 시작하기 위해 사용할 수 있는 SSL(Secure Sockets Layer) 디지털 인증서 및 SAF(System Authorization Facility) 키 링 작성

애플리케이션이 HTTPS 요청을 시작하기 위해 사용할 수 있는 SSL(Secure Sockets Layer) 디지털 인증서 및 SAF(System Authorization Facility) 키 링을 작성할 수 있습니다.

이 태스크 정보

SAF 키 링(및 개인용 키)의 소유자는 서번트 리젼의 STARTED 클래스 프로파일에 의해 설정된 MVS™ 사용자 ID여야 합니다. 이 사용자 ID는 소유자여야 합니다. 이러한 애플리케이션은 WebSphere® Application Server for z/OS® 서번트 리젼 주소에서 실행되기 때문입니다. 이 사용자 ID는 WebSphere Application Server for z/OS 제어기 사용자 ID와는 다릅니다.

HFS(Hierarchical File System)에서 키 저장소 및 신뢰 저장소를 사용하는 경우에는 파일 이름은 파일 시스템 내에서 파일을 고유하게 식별합니다.

프로시저

  1. RACF®(Resource Access Control Facility)를 보안 서버로서 사용 중인 경우에는 다음을 지정하여 HTTPS 애플리케이션이 사용할 개인용 키 링을 생성할 수 있습니다.
    RACDCERT ID(ASSR1) GENCERT  SUBJECTSDN(CN('J2EE SERVER') O('Z/OS WEBSPHERE') 
    L('POUGHKEEPSIE') SP('NEW YORK') C('US')) SIZE(512) 
    WITHLABEL('ASSR1 SERVER CERTIFICATE') SIGNWITH(CERTAUTH LABEL('PVT CA'))

    이 예에서 고유한 서번트 리젼 인증서를 생성하는 데 사용되는 인증서 권한은 사용자 정의 작업에 의해 WebSphere Application Server for z/OS 서버의 인증서를 생성하는 데 사용된 것과 동일합니다.

  2. 제어 리젼 사용자 ID에 사용된 것과 같은 이름으로 키 링을 작성하십시오.
    RACDCERT ADDRING(S1GRING) ID( ASSR1 )
    새 키 링은 인증서 권한 인증서 및 서번트 서버 인증서의 서번트 사용자 ID가 소유합니다.
  3. 인증 기관 인증서(인증 기관으로부터의 인증서)가 있어야 합니다. WebSphere Application Server 런타임 처리에 사용되는 인증서와 유사한 HTTPS 애플리케이션이 사용하는 인증서를 생성하기 위해 동일한 인증 기관을 사용하기로 선택할 수도 있습니다. 디지털 인증서를 작성하는 데 사용되는 인증 기관 인증서는 WebSphere Application Server 런타임에 의해 사용되고, 시스템 사용자 정의 중에 작성되고 WebSphere z/OS Profile Management Tool 또는 zpmt 명령을 사용하여 작성될 수 있습니다. 다음을 지정하여 이 인증 기관 인증서를 방금 작성한 키 링에 연결할 수 있습니다.
    RACDCERT ID(ASSR1) CONNECT (RING(S1GRING) LABEL('PVT CA') CERTAUTH)
    이 예의 경우:
    • S1GRING은 RACF 키 링을 나타냅니다.
    • ASSR1은 서번트 사용자 ID를 나타냅니다.
    • PVT CA는 인증 기관을 나타냅니다.

    요청의 대상이 또 다른 WebSphere Application Server for z/OS 서버인 경우, WebSphere Application Server for z/OS HTTPS 레퍼토리(일반적으로 사용자 정의 중에 설정됨)에 의해 사용되는 인증 기관 인증서를 인증서 서명자와 다른 경우 키 링으로 가져오십시오. 클라이언트 인증서를 사용하는 인증이 요청되면 애플리케이션의 인증 기관을 HTTPS 레퍼토리로 가져와야 합니다.

  4. 개인용 인증서를 키 링에 연결하십시오.
    RACDCERT ID(ASSR1) CONNECT(ID(ASSR1) LABEL('ASSR1 SERVER CERTIFICATE') RING(S1GRING) DEFAULT)
    이 예의 경우:
    • S1GRING은 RACF 키 링을 나타냅니다.
    • ASSR1은 서번트 사용자 ID를 나타냅니다.
    • ASSR1 SERVER CERTIFICATE는 서번트 사용자 ID의 서버 인증서를 나타냅니다.
  5. sysplex 전체에서 고유해야 하는 사용자 정의 가능한 정보를 입력하십시오. 여기에는 다음이 포함될 수 있습니다.
    • 제목의 공개 키
    • 제목의 식별 이름(X.509 인증서에서 엔티티를 고유하게 식별함)
      • 공통 이름
      • 직위
      • 조직 이름
      • 조직 단위 이름
      • 소재 지명
      • 주 또는 도명
      • 국가
    • 인증서를 발행 중인 인증 기관의 식별 이름
    • 인증서가 유효한 시작 날짜
    • 인증서의 만기 날짜
    • 버전 번호
    • 일련 번호
  6. 무엇이 설정되는지를 확인하려면 사용자 정의 작업의 출력을 확인하십시오. HLQ.DATA.(BBOWBRAK, 저장된 경우 BBOSBRAK)를 보고, 인증 기관 인증서 레이블의 설정, 서번트 리젼의 시작된 태스크 ID를 기록하십시오. 웹 서비스에 기존 레퍼토리 정의를 사용하고 싶은 경우에는 키 링 이름이 작성됩니다.

결과

참고:
다음을 고려하십시오.
  • SSLConfig 정의에 의해 지정되는 레퍼토리 유형은 JSSE(Java™ Secure Socket Extension) 레퍼토리여야 합니다. 이 레퍼토리는 다음을 참조하기 위해 구성될 수 있습니다.
    • HFS 파일에서 JKS(Java Key Store) 키 저장소 및 신뢰 저장소 파일
    • RACFJSSESettings와 같은 SAF 키 링
  • 레퍼토리 정의의 범위는 레퍼토리 유형에 달려 있습니다. 예를 들어 다음과 같습니다.
    • 레퍼토리가 SAF 키 링을 참조할 때 키 링은 이를 사용하는 프로세스의 MVS 사용자 ID가 소유해야 합니다. 사용자 정의 작업은 WebSphere Application Server for z/OS 제어기 시작 태스크 사용자 ID가 소유하는 키 링을 작성합니다. WebSphere Application Server 웹 서비스 클라이언트는 WebSphere Application Server for z/OS 서번트 리젼의 시작된 태스크 사용자 ID의 사용자 ID를 사용하여 실행됩니다. 즉 서번트 리젼의 사용자 ID가 소유할 새 키 링을 작성해야 함을 의미합니다. 이 사용자 ID는 사용자가 기존 SSL 레퍼토리를 지정하더라도 WebSphere Application Server 웹 서비스 클라이언트에 의해 사용됩니다.
    • 레퍼토리가 HFS 파일을 참조하면 모든 프로세스는 키 저장소를 공유할 수 있습니다. HFS에서 키 저장소 및 신뢰 저장소를 사용하는 경우 파일 이름은 파일 시스템 내에서 파일을 고유하게 식별합니다.

몇몇 디지털 인증서 및 키 링 관리는 사용자 정의 가능한 ibm-webservicesclient-bnd.xmi 어셈블리 특성 중 하나인 sslConfig 특성을 편집하고 사용하는 데 필요합니다.


주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_createsslsaf
파일 이름:tsec_createsslsaf.html