[z/OS]

创建安全套接字层数字证书和系统授权工具密钥环供应用程序用于启动 HTTPS 请求

可以创建安全套接字层 (SSL) 数字证书和系统授权工具 (SAF) 密钥环供应用程序用于启动 HTTPS 请求。

关于此任务

SAF 密钥环(和个人密钥)的所有者必须是服务方区域的 STARTED 类概要文件所建立的 MVS™ 用户标识。因为这些应用程序是运行在 WebSphere® Application Server for z/OS® 服务方区域地址中的,所以此用户标识必须是所有者。此用户标识与 WebSphere Application Server for z/OS 控制器用户标识不同。

如果使用分层文件系统 (HFS) 中的密钥库和信任库,那么文件名必须唯一地识别该文件系统中的文件。

过程

  1. 如果您正在将资源访问控制设施 (RACF®) 用作您的安全服务器,那么可通过指定以下内容生成要由 HTTPS 应用程序使用的个人密钥环:
    RACDCERT ID(ASSR1) GENCERT  SUBJECTSDN(CN('J2EE SERVER') O('Z/OS WEBSPHERE') 
    L('POUGHKEEPSIE') SP('NEW YORK') C('US')) SIZE(512) 
    WITHLABEL('ASSR1 SERVER CERTIFICATE') SIGNWITH(CERTAUTH LABEL('PVT CA'))

    在本示例中,用于生成唯一服务方区域证书的认证中心与以下认证中心相同:用于通过定制作业为 WebSphere Application Server for z/OS 服务器生成证书的认证中心。

  2. 创建一个密钥环,该密钥环的名称与用于控制区域用户标识的名称相同:
    RACDCERT ADDRING(S1GRING) ID( ASSR1 )
    新的密钥环由认证中心证书和服务方服务器证书的服务方用户标识拥有。
  3. 您必须具有认证中心证书(来自认证中心的证书)。您可能会选择使用同一认证中心来生成 HTTPS 应用程序使用的证书,它与 WebSphere Application Server 运行时处理使用的证书类似。用于创建数字证书的认证中心证书由 WebSphere Application Server 运行时使用,且在系统定制期间创建(并且可通过 WebSphere z/OS Profile Management Tool或 zpmt 命令来创建)。可以将此认证中心证书连接到您刚才通过指定以下内容创建的密钥环:
    RACDCERT ID(ASSR1) CONNECT (RING(S1GRING) LABEL('PVT CA') CERTAUTH)
    对于本示例:
    • S1GRING 表示 RACF 密钥环
    • ASSR1 表示服务方用户标识
    • PVT CA 表示认证中心

    请注意,如果请求的目标是另一个 WebSphere Application Server for z/OS 服务器,您也必须将 WebSphere Application Server for z/OS HTTPS 指令表(通常在定制期间设置)使用的认证中心证书导入到您的密钥环中(如果它与证书签署者不同)。如果请求了使用客户机证书的认证,您也必须将应用程序的认证中心导入到 HTTPS 指令表中。

  4. 将个人证书连接到您的密钥环:
    RACDCERT ID(ASSR1) CONNECT(ID(ASSR1) LABEL('ASSR1 SERVER CERTIFICATE') RING(S1GRING) DEFAULT)
    对于本示例:
    • S1GRING 表示 RACF 密钥环
    • ASSR1 表示服务方用户标识
    • ASSR1 SERVER CERTIFICATE 表示服务方用户标识的服务器证书
  5. 输入需要在综合系统之间唯一的可定制信息。 此信息可以包括:
    • 主题的公用密钥
    • 主题的专有名称(它唯一地识别 X.509 证书中的实体)
      • 公共名
      • 标题
      • 组织名
      • 组织单元名
      • 位置名
      • 省、自治区或直辖市名
      • 国家或地区
    • 发出证书的认证中心的专有名称
    • 证书生效起始日期
    • 证书截止日期
    • 版本号
    • 序列号
  6. 验证定制作业的输出以查看其设置。 查看 HLQ.DATA.(BBOWBRAK、BBOSBRAK,如果保存的话),并记录认证中心证书标签和服务方区域的已启动任务标识的设置。如果要使用 Web Service 的现有指令表定义,那么创建密钥环名称。

结果

注:
请考虑以下内容:
  • SSLConfig 定义指向的指令表类型必须是 Java™ 安全套接字扩展 (JSSE) 指令表。指令表可以配置成涉及:
    • HFS 文件中的 Java 密钥库 (JKS) 密钥库和信任库文件
    • 诸如 RACFJSSESettings 的 SAF 密钥环
  • 指令表定义的范围取决于指令表的类型。例如:
    • 当指令表涉及 SAF 密钥环时,该密钥环必须由使用它的进程的 MVS 用户标识拥有。定制作业创建由 WebSphere Application Server for z/OS 控制器启动的任务用户标识拥有的密钥环。WebSphere Application Server Web Service 客户机使用 WebSphere Application Server for z/OS 服务方区域的已启动任务用户标识运行。这意味着您必须创建由服务方区域的用户标识拥有的新密钥环。即使指定现有 SSL 指令表,此用户标识也将由 WebSphere Application Server Web Service 客户机使用。
    • 当指令表涉及 HFS 文件时,所有进程可以共享密钥库。如果使用 HFS 中的密钥库和信任库,那么文件名将唯一地识别文件系统中的文件。

某些数字证书和密钥环管理是编辑和使用 sslConfig 属性所必需的,该属性是用户可定义的 ibm-webservicesclient-bnd.xmi 组装属性中的一个。.


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_createsslsaf
文件名:tsec_createsslsaf.html