[z/OS]

为客户机和服务器定义 SSL 安全性

使用本主题中的步骤以允许客户机使用数字证书。

开始之前

注意,会假设您将 z/OS® 安全性服务器 (RACF®) 用作安全性服务器。必须获取用于签署服务器证书的认证中心 (CA) 证书副本。服务器证书将客户机连接到服务器。您还必须拥有具有适当权限(例如,SPECIAL)的用户标识,以使用 z/OS 安全性服务器资源访问控制设施 (RACF) RACDCERT 命令。有关 RACDCERT 命令的更多信息,请参阅 z/OS Security Server RACF Command Language Reference (SA22-7687-05) (http://www.ibm.com/servers/eserver/zseries/zos/bkserv/r5pdf/secserv.html)。有关 RACDCERT 命令的更多信息,请参阅 z/OS 因特网库中适用于您的 z/OS 版本的 z/OS Security Server RACF Command Language Reference。

关于此任务

完成以下 RACF 步骤以允许客户机使用数字证书。SOAP、安全套接字层 (SSL) 和 Java™ 安全套接字扩展 (JSSE) 使用具有公用密钥和专用密钥的数字证书。如果客户机使用 SOAP、SSL 或 JSSE,那么必须使用 RACF 来存储数字证书,这些数字证书具有用于运行客户机的用户标识的公用密钥和专用密钥。

过程

  1. 对于使用 SOAP 的每个管理客户机程序,请对客户机用户标识创建密钥环。 例如,如果使用用户标识 CLIENTID 运行客户机,请发出以下命令:
    RACDCERT ADDRING(ACRRING) ID(CLIENTID)
  2. 在上述步骤中创建的密钥环必须包括任何认证中心 (CA) 证书的公用证书,这些 CA 证书是在管理客户机连接到的服务器中建立信任所必需的。对于每个 CA 证书,请完成以下步骤:
    1. 确定此 CA 证书当前是否存储在 RACF 中。如果存储在 RACF 中,请记录现有证书标签。如果未存储在 RACF 中,那么必须:
      1. 接收用于签署服务器证书的每个 CA 证书。例如,要接收存储在 USER.SERVER1.CA 文件中的 CA 证书(该证书会验证带有用户标识 SERVER1 的服务器),请发出以下命令:
        RACDCERT ADD('USER.SERVER1.CA') WITHLABEL('SERVER1 CA') CERTAUTH
      2. 将每个服务器的 CA 证书连接到客户机用户标识的密钥环。例如,要将 SERVER1 CA 证书连接到 CLIENTID 拥有的密钥环 ACRRING:
        RACDCERT ID(CLIENTID) CONNECT(CERTAUTH LABEL('SERVER1 CA') RING(ACRRING))
  3. 如果管理客户机连接到的服务器实现了 SSL 客户机证书支持,那么必须为客户机创建证书并将它们添加到服务器密钥环。 参阅定义服务器的 SSL 安全性,以了解有关设置服务器密钥环的指示信息。
  4. 将针对 RACF FACILITY 类中的 IRR.DIGTCERT.LIST 和 IRR.DIGTCERT.LISTRING 概要文件的 READ 访问权授予客户机用户标识。 例如,如果客户机用户标识为 CLIENTID,请发出以下命令:
    PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(CLIENTID) ACC(READ)
    PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(CLIENTID) ACC(READ)

下一步做什么

当 RACF 命令成功运行时,您就完成 RACF 阶段。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_definsslsecclient
文件名:tsec_definsslsecclient.html