![[z/OS]](../images/ngzos.gif)
WebSphere Application Server for z/OS 的安全套接字层安全性
本主题假定您了解“安全套接字层”(SSL) 协议以及加密服务系统 SSL 在 z/OS® 上的工作方式。SSL 由 WebSphere® Application Server 中的多个组件用来提供信任和保密。这些组件包括内置 HTTP 传输、对象请求代理 (ORB)(客户机和服务器)和安全轻量级目录访问协议 (LDAP) 客户机。配置 SSL 的过程在使用 WebSphere Application Server 的客户机和服务器之间是不同的。如果想要使网络中的受保护通信和用户认证更加安全,那么可以使用 SSL 安全性。
SSL 是 WebSphere Application Server for z/OS 所提供的安全性的完整部分。当启用了管理安全性时,就会激活 SSL。当启用了管理安全性时,管理子系统始终使用 SSL 来保护管理命令、管理控制台和 WebSphere Application Server 进程之间的通信。
- 将机密性指定为 Web 应用程序安全性约束时,使用 SSL 来保护 Web 应用程序。CONFIDENTIAL 或 INTEGRAL 的传输保证会保证 Web 客户机和 Web 服务器之间的通信是受保护的并且此通信通过 HTTPS (HTTP SSL) 进行传输。另外,在应用程序部署期间指定安全性约束 (CLIENT_CERT) 时,可以使用 SSL 执行客户机认证。
- 当公共安全互操作性 V2 (CSIv2) 传输设置中支持(或者需要)SSL/TLS 时,可以使用 SSL 来保护 ORB 间协议 (IIOP) 请求。通过单击安全性 > 全局安全性来进行这些设置。在“RMI/IIOP 安全性”下,单击 CSIv2 入站传输或者 CSIv2 出站传输。
- 当活动用户注册表是 LDAP 时,SSL 可以用于保护 LDAP 客户机和服务器间的通信。
- 对于使用 HTTP/SOAP 连接器的管理请求,必须选择 Java™ 安全套接字扩展 (JSSE) 作为 SSL 指令表类 型。JSSE 指令表可以(应用了 APAR PQ77586)指定密钥库或信任库的 SAF 密钥环,或者指定分层文件系统 (HFS) 文件。
本主题简要说明了 SSL 协议以及 SSL 在 z/OS 上的工作方式。有关 SSL 协议的信息,请访问以下 Web 站点:http://home.netscape.com/eng/ssl3/ssl-toc.html
- 提供业界认可的方法来保护当消息跨越网络流动时消息的安全性。这通常称为传输层安全性。“传输层安全性”(TLS) 是可以在两个互相通信的应用程序之间提供隐私和数据完整性的功能。保护发生在基本传输协议顶部(例如 TCP/IP 的顶部)的软件层中。
SSL 通过加密技术在通信链路上提供安全性,确保网络中消息的完整性。因为通信是在双方间加密的,所以第三方无法篡改消息。SSL 也提供机密性(确保无法读取消息内容)、重放检测和无序检测。
- 提供安全通信介质,各种认证协议可以通过它运作。单个 SSL 会话可以承载多个认证协议(即方法)以证明通信各方的标识。SSL 支持始终提供一种服务器用于证明其身份的机制。WebSphere Application Server for z/OS 上的 SSL 支持允许客户机用这些方法证明其身份:
- 基本认证(也称为 SSL 1 类认证),在此认证中客户机通过传递目标服务器已知的用户标识和密码(或口令)来向服务器证明其身份。通过 SSL 基本认证:
- z/OS 客户机可以通过使用由 CSIv2 用户名和密码机制“类属安全性服务用户名密码”(GSSUP) 定义的用户标识和密码来与 WebSphere Application Server for z/OS 安全地通信。
- WebSphere Application Server 客户机可以通过使用 MVS™ 用户标识和密码(或口令)与 WebSphere Application Server for z/OS 服务器安全地通信。
- 因为请求过程中始终需要密码,所以只能进行简单的客户机到服务器的连接。即,服务器无法将客户机的用户 标识发送到另一台服务器以获取对请求的响应。
- 客户机证书支持,其中服务器和客户机提供数字证书以互相证明其标识。
提供数字证书以向 WebSphere Application Server for z/OS 进行认证时,会将已解密的证书映射至已启用的用户资源库中的有效用户标识。Web 应用程序可以有数千台客户机,这使管理客户机认证成为管理负担。当 WebSphere Application Server for z/OS 上已启用的用户资源库是本地操作系统时,SAF 证书名 称过滤功能允许您将客户机证书映射至 MVS 用户标识,而无需存储这些证书。通过证书名称过滤,可以授权多组用户访问服务器,而无需负担创建 MVS 用户标识并管理每个用户的客户机证书的管理开销。
- SSL 支持始终提供一种服务器用于证明其身份的机制。可以使用多种机制证明客户机身份。SSL v3(和 TLS)协议提供可选地交换客户机数字证书的能力。这些证书可以用于认证。
- CSIv2 身份断言,它支持 z/OS 主体、X501 专有名称和 X509 数字证书。
- 身份断言或信任关联,其中中间服务器可以通过安全而有效的方式将其客户机的身份发送到目标服务器。此支持使用客户机证书建立中间服务器作为 SSL 会话的所有者。通过资源访问控制设施 (RACF®),系统可以检查中间服务器是否可信(要授予此级别的信任,管理员将向专门运行安全系统代码的 RACF 标识授予 CBIND 权限)。在此中间服务器中建立信任之后,目标服务器就不需要单独验证客户机身份(MVS 用户标识);那些客户机身份仅需要声明,而无需认证。
- 基本认证(也称为 SSL 1 类认证),在此认证中客户机通过传递目标服务器已知的用户标识和密码(或口令)来向服务器证明其身份。
- 要与其他产品安全地互操作,例如:
- Customer Information Control System (CICS®) Transaction Server for z/OS
- 其他版本的 WebSphere Application Server
- 符合公共对象请求代理体系结构 (CORBA) 的对象请求代理
缺省情况下 SSL 处于禁用状态,且 SSL 支持是可选的。如果正在运行启用了安全性的 WebSphere Application Server for z/OS,那么管理控制台需要 SSL。Java 安全套接字扩展 (JSSE) 是使用的 SSL 指令表类型。
阶段 | 描述 |
---|---|
协商 | 在客户机找到服务器后,客户机和服务器协商用于通信的安全性类型。如果要使用 SSL,那么客户机被告知连接到一个特殊的 SSL 端口。 |
握手 | 客户机连接到 SSL 端口,并发生 SSL 握手。如果成功,那么开始加密的通信。客户机通过检查服务器的数字证书认证服务器。 如果在握手期间使用客户机证书,那么服务器通过检查客户机的数字证书认证客户机。 |
正在进行的通信 | 在 SSL 握手期间,客户机和服务器协商要用于加密通信的密码规范。 |
第一个客户机请求 | 客户机身份的确定取决于选择的客户机认证机制,它是以下之一:
|
规则
- z/OS 上的 Java 或 C++ 客户机可与 WebSphere Application Server for z/OS 或工作站 Application Server 互操作,并可以使用 SSL。CSIv2 安全性仅支持 z/OS 上的 Java 客户机。
- 握手的一部分是协商 SSL 用于消息保护的密码规范。有两个因素决定所使用的密码规范和密钥大小:
- 安装在系统上的加密服务的安全级别,它决定可用于 WebSphere Application Server for z/OS 的密码规范和密钥大小。
- 通过管理控制台配置服务器允许您指定 SSL 密码套件。
- 对于 z/OS 系统 SSL 套接字,必须使用 RACF 或功能相同的工具来存储数字证书和密钥。将数字证书和 密钥放置到 HFS 中的密钥数据库不是选项。
对于客户机,必须创建密钥环并附上来自发出服务器 证书的认证中心的 CA 证书。对于 z/OS 客户机,必须使用 RACF 创建客户机密钥环并将 CA 证书连接至该密 钥环。对于认证服务器的客户机,该服务器(实际上是控制器用户标识)必须具有认证中心创建的已签署证书。 服务器传递该已签署证书以向客户机证明其身份。客户机必须具有来自发出服务器证书的同一个认证中心的 CA 证书。客户机使用 CA 证书来验证服务器的证书是否可信。验证证书之后,客户机可以认定消息确实来自 该服务器,而不是其他地方。对于认证客户机的服务器,注意没有客户机可传递以向服务器证明其是否的客户机证书。在 SSL 基本认证方案中,服务器通过询问客户机的用户标识和密码(或口令)来认证客户机。
请参阅设置守护程序安全套接字层使用的密钥环,以获取有关为守护程序的 MVS 用户标识创建密钥环的信息。