对 RACF® 完成以下步骤以授权服务器使用数字证书。SSL 使用数字证书,以及公用密钥和专用密钥。
开始之前
您必须为服务器请求一个认证中心 (CA) 证书和一个已签署的证书。如果您计划实现安全套接字层 (SSL) 客户机证书支持,那么您还必须拥有来自每个验证您客户机证书的认证中心的认证中心证书。您必须拥有带在资源访问控制设施 (RACF) 中使用 RACDCERT 命令的权限(例如,SPECIAL 权限)的用户标识。
关于此任务
如果应用程序服务器使用 SSL,那么必须使用 RACF 存储数字证书,并且必须对运行服务器控制器的用户标识使用公用密钥和专用密钥。
过程
- 对于使用 SSL 的每个服务器,对该服务器的控制器用户标识创建密钥环。 示例:您的控制器与名为 ASCR1 的用户标识
关联。发出以下命令:
RACDCERT ADDRING(ACRRING) ID(ASCR1)
- 从认证中心接收您的应用程序服务器的证书。 示例:您
请求一个证书,认证中心将已签署的证书返回给您,您将其存储在名为 ASCR1.CA 的文件中。发出以下命令:
RACDCERT ID (ASCR1) ADD('ASCR1.CA') WITHLABEL('ACRCERT') PASSWORD('password')
- 将已签署的证书连接到控制器用户标识的密钥环,并使证书成为
缺省证书。 示例:将标签为 ACRCERT 的证书连接到 ASCR1 拥有的密钥环 ACRRING。发出以下命令:
RACDCERT ID(ASCR1) CONNECT (ID(ASCR1) LABEL('ACRCERT') RING(ACRRING) DEFAULT)
- 如果您计划拥有服务器认证客户机(SSL 客户机证书支持),请完成以下步骤:
- 接收验证您的客户机证书的每个认证中心 (CA) 证书。 示例:接收使用用户标识 CLIENT1 验证客户机的 CA 证书。该证书在名为 USER.CLIENT1.CA 的文件
中。发出以下命令:
RACDCERT ADD('USER.CLIENT1.CA') WITHLABEL('CLIENT1 CA') CERTAUTH
- 授予 CERTAUTH 属性给每个 CA 证书。
将每个客户机
的认证中心 (CA) 证书连接到控制器用户标识的密钥环。
示例:将 CLIENT1 CA 证书
连接到 ASCR1 拥有的环 ACRRING。
RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('CLIENT1 CA') RING(ACRRING))
- 授予 RACF FACILITY 类中的 IRR.DIGTCERT.LIST 和 IRR.DIGTCERT.LISTRING 到控制器用户标识的读访问。 示例:您的控制器用户标识
为 ASCR1。发出:
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(ASCR1) ACC(READ)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(ASCR1) ACC(READ)
下一步做什么
当 RACF 命令成功时,您完成 RACF 阶段。