![[z/OS]](../images/ngzos.gif)
守护程序安全套接字层
使用管理控制台面板修改端口和安全套接字层 (SSL) 端口设置和指定 SSL 设置(SSL 指令表)。缺省指令表是与服务器使用的相同的 SystemSSL IIOP 指令表。在守护程序初始化期间,如果启用安全性且找到有效的指令表,那么尝试 SSL 使用初始化。为了关闭守护程序 SSL 端口,必须创建单元级别 WebSphere® 变量 (DAEMON_security_disable_daemon_ssl),并将它设置为 1。此变量的缺省值为 0。
使用位置服务守护程序,SSL 可以用于保护 SSL 守护程序中的位置,如果:
- 启用管理安全性
- 将在管理控制台中配置守护程序 SSL 指令表(守护程序 SSL 指令表指与守护进程相关联的 MVS™ 用户标识所拥有的有效 RACF® 密钥环)
- 已定义证书和密钥环
在管理控制台上,单击
。在“其他属性”下,单击 z/OS® 位置服务。位置服务守护程序 此面板指定此单元的位置服务守护程序的配置设置。 对整个单元和单元中每个节点上的位置服务守护程序实例的这些设置所作的更改。 作业名 BBODMNC 指定位置服务守护程序的 z/OS 作业名。 主机名 BOSSXXXX.PLEX1.L2.IBM.COM 指定连接位置服务守护程序时要使用的 主机名。 端口 5755 指定位置服务守护程序侦听未加密通信的端口。 SSL 端口 5756 指定位置服务守护程序侦听已加密通信的端口。 SSL 设置 PLEX1Manager/DefaultIIOPSSL 指定可供选择以进行连接的预定义 SSL 设置的列表。 在 SSL 指令表面板上配置这些项。
可以使用以下 WebSphere 变量在 z/OS 守护程序中设置 SSL 和 TLS 协议。将变量设置为 1 可启用协议,设置为 0 可禁用协议。
DAEMON_com_ibm_DAEMON_protocol_TLSv1_enabled //* default 1
DAEMON_com_ibm_DAEMON_protocol_TLSv1_1_enabled //* default 0
DAEMON_com_ibm_DAEMON_protocol_TLSv1_2_enabled //* default 0
DAEMON_com_ibm_DAEMON_protocol_SSLv2_enabled //* default 0
DAEMON_com_ibm_DAEMON_protocol_SSLv3_enabled //* default 1
您可以使用 WebSphere z/OS Profile Management Tool 或 zpmt
命令来指定认证信息,其中包括守护程序的用户标识、UID 和 SSL 端口。将生成 RACF 命令以创建服务器使用的密钥环(缺省值是 WASKeyring)。z/OS Profile Management Tool 或 zpmt 命令生成守护程序密钥环和证书。
要使用 z/OS Profile Management Tool 来生成守护程序密钥环和证书,选择 。如果在此选项旁输入 Y,那么将生成 RACF 命令来执行以下任务:
- 创建守护程序密钥环和证书
- 将证书和认证中心 (CA) 证书连接到密钥环。
要点: 此选项不控制守护程序 SSL 的使用。
如果用户标识相同,那么此选项适当,但如果守护程序具有不同的用户标识,请参阅设置供 WebSphere Application Server for z/OS 使用的密钥环。所选值由管理控制台检取。如果将指定给安全 WebSphere Application Server 的同一 MVS 用户标识指定给守护进程,那么您用来保护 WebSphere Application Server 的密钥环也可以用于保护守护程序请求。如果未将指定给安全 WebSphere Application Server 的同一 MVS 用户标识指定给守护进程,那么建议您像设置 WebSphere Application Server 一样来设置守护程序 SSL。修改 BBOCBRAK(或 WebSphere Application Server Network Deployment 上的 HLQ.DATA(BBODBRAK))中生成的定制作业命令,以执行设置供 WebSphere Application Server for z/OS 使用的密钥环中的步骤。