[z/OS]

Criando Certificados Digitais do Secure Sockets Layer e Conjuntos de Chaves do System Authorization Facility que Aplicativos Podem Utilizar para Iniciar Pedidos HTTPS

Você pode criar certificados digitais SSL (Secure Sockets Layer) e conjuntos de chaves System Authorization Facility (SAF) que os aplicativos podem utilizar para iniciar os pedidos HTTPS.

Sobre Esta Tarefa

O proprietário do anel de chaves SAF (e chaves pessoais) deve ser o ID do usuário do MVS estabelecido pelo perfil de classe STARTED da região servidora. Esse ID do usuário deve ser o proprietário, pois esses aplicativos são executados no endereço da região servidora do WebSphere Application Server para z/OS. Esse ID do usuário é diferente do ID do usuário do controlador do WebSphere Application Server para z/OS.

Se você utilizar armazenamentos de chaves e truststores em um HFS (Hierarchical File System), um nome de arquivo identifica com exclusividade o arquivo dentro do sistema de arquivos.

Procedimento

  1. Se você estiver utilizando o RACF (Resource Access Control Facility) como seu servidor de segurança, poderá gerar um anel de chaves pessoais a ser utilizado pelo aplicativo HTTPS especificando:
    RACDCERT ID(ASSR1) GENCERT  SUBJECTSDN(CN('J2EE SERVER') O('Z/OS WEBSPHERE') 
    L('POUGHKEEPSIE') SP('NEW YORK') C('US')) SIZE(512) 
    WITHLABEL('ASSR1 SERVER CERTIFICATE') SIGNWITH(CERTAUTH LABEL('PVT CA'))

    Neste exemplo, a autoridade de certificação utilizada para gerar o certificado exclusivo da região do servidor é a mesma utilizada para gerar os certificados dos servidores do WebSphere Application Server para z/OS pela tarefa de customização.

  2. Crie um conjunto de chaves com o mesmo nome utilizado para o ID do usuário da região de controle:
    RACDCERT ADDRING(S1GRING) ID( ASSR1 )
    O novo conjunto de chaves pertence ao ID do usuário servidor para o certificado da autoridade de certificação e o certificado do servidor servant.
  3. É preciso ter um certificado da autoridade de certificação (um certificado de uma autoridade de certificação). É possível escolher utilizar a mesma autoridade de certificação para gerar um certificado utilizado por aplicativos HTTPS, que é semelhante ao certificado utilizado para processamento em tempo de execução do WebSphere Application Server. O certificado de autoridade de certificação que é utilizado para criar os certificados digitais é utilizado pelo WebSphere Application Server Runtime, e é criado durante a customização do sistema (além de poder ser criado pela Profile Management Tool do WebSphere z/OS ou pelo comando zpmt). É possível conectar esse certificado da autoridade de certificação ao anel de chaves recém-criado, especificando:
    RACDCERT ID(ASSR1) CONNECT (RING(S1GRING) LABEL('PVT CA') CERTAUTH)
    Para este exemplo:
    • S1GRING representa o anel de chaves RACF
    • ASSR1 representa o ID do usuário de servidor
    • PVT CA representa a autoridade de certificação

    Observe que, se o destino do pedido for outro servidor WebSphere Application Server para z/OS, você também deverá importar o certificado da autoridade de certificação utilizado pelo repertório HTTPS do WebSphere Application Server para z/OS (que é geralmente configurado durante a customização) para seu anel de chaves, se ele for diferente do signatário do certificado. Se for pedida a autenticação utilizando certificados clientes, também será preciso importar a autoridade de certificação de seu aplicativo para o repertório HTTPS.

  4. Conecte o certificado pessoal a seu conjunto de chaves:
    RACDCERT ID(ASSR1) CONNECT(ID(ASSR1) LABEL('ASSR1 SERVER CERTIFICATE') RING(S1GRING) DEFAULT)
    Para este exemplo:
    • S1GRING representa o anel de chaves RACF
    • ASSR1 representa o ID do usuário de servidor
    • ASSR1 SERVER CERTIFICATE representa o certificado de servidor para o ID do usuário de servidor
  5. Digite as informações customizáveis que necessitam ser exclusivas em um sysplex. Elas podem incluir os seguintes itens:
    • Chave pública do objeto
    • Nome Distinto do Objeto (que identifica com exclusividade uma entidade em um certificado X.509)
      • Nome Comum
      • Título
      • Nome da organização
      • Nome da unidade organizacional
      • Nome da localidade
      • Nome do estado ou região
      • País
    • Nome Distinto da autoridade de certificação que está emitindo o certificado
    • Data a partir da qual o certificado é válido
    • Data de expiração do certificado
    • Número da versão
    • Número de série
  6. Verifique a saída das tarefas de customização para ver o que foi configurado. Consulte HLQ.DATA.(BBOWBRAK, BBOSBRAK se eles foram salvos), e registre as configurações da etiqueta do certificado da autoridade de certificação, a identidade da tarefa iniciada da região servidora. Se desejar usar uma definição de repertório existente para serviços da Web, o nome do conjunto de chaves criado.

Resultados

Nota:
Considere que:
  • O tipo de repertório que é apontado pela definição SSLConfig deve ser um repertório JSSE (Java™ Secure Socket Extension). Esse repertório pode ser configurado para referir-se a:
    • Arquivos de truststore e de armazenamento de chaves do JKS (Java Key Store) em um arquivo HFS
    • Conjuntos de chaves SAF, como RACFJSSESettings
  • O escopo da definição do repertório depende do tipo de repertório. Por exemplo:
    • Quando o repertório se refere a um anel de chaves SAF, esse anel de chave deve pertencer ao ID do usuário do MVS de processo que o utiliza. As tarefas de customização criam anéis de chaves que pertencem ao ID do usuário da tarefa iniciada do controlador do WebSphere Application Server para z/OS. Os clientes de serviços da Web do WebSphere Application Server executam usando o ID do usuário do WebSphere Application Server para o ID do usuário da tarefa iniciada da região do servidorz/OS. Isso significa que é preciso criar um novo anel de chaves para pertencer ao ID do usuário da região servidora. Esse ID do usuário é usado pelos clientes de serviços da Web do WebSphere Application Server mesmo se você especificar um repertório SSL existente.
    • Quando o repertório se refere a um arquivo HFS, todos os processos podem compartilhar os armazenamentos de chaves. Se você utilizar armazenamentos de chaves e armazenamentos de confiança em um HFS, um nome do arquivo identifica com exclusividade o arquivo dentro do sistema de arquivos.

Algum gerenciamento de certificados digitais e de conjuntos de chaves é necessário para editar e utilizar a propriedade sslConfig, que é uma das propriedades de montagem ibm-webservicesclient-bnd.xmi definidas pelo usuário. .


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_createsslsaf
Nome do arquivo: tsec_createsslsaf.html