RACF の次のステップを完了して、サーバーがデジタル証明書を使用できるように許可します。
SSL では、デジタル証明書および公開鍵および秘密鍵が使用されます。
始める前に
認証局 (CA) 証明書とサーバー用の署名付き証明書を要求する必要があります。
また Secure Sockets Layer (SSL) クライアント証明書サポートを
実装する計画がある場合、クライアント証明書を検査する各認証局からの、
認証局証明書も持っている必要があります。
Resource Access Control Facility (RACF) で RACDCERT コマンドを使用できる権限を備えた、ユーザー ID を持たなければなりません (例えば、SPECIAL 権限)。
このタスクについて
アプリケーション・サーバーが SSL を使用している場合には、RACF を使用して、デジタル証明書を保管し、
サーバー・コントローラーの実行に使用されているユーザー ID 用の公開鍵および秘密鍵を使用しなければなりません。
プロシージャー
- SSL を使用するサーバーごとに、サーバーのコントローラー・ユーザー ID 用の鍵リングを作成します。
例: コントローラーが ASCR1 というユーザー ID と関連付けられている場合には、以下のコマンドを発行します。
RACDCERT ADDRING(ACRRING) ID(ASCR1)
- 認証局から アプリケーション・サーバー用の証明書を受け取ります。
例: 証明書を要求した結果、認証局から署名された証明書が戻され、その証明書を ASCR1.CA というファイルに保管した場合、 以下のコマンドを発行します。
RACDCERT ID (ASCR1) ADD('ASCR1.CA') WITHLABEL('ACRCERT') PASSWORD('password')
- 署名された証明書をコントローラー・ユーザー ID の鍵リングに接続し、その証明書をデフォルトの証明書にします。
例: ACRCERT というラベルの証明書を、ASCR1 が所有している鍵リング ACRRING に接続する場合、以下のコマンドを発行します。
RACDCERT ID(ASCR1) CONNECT (ID(ASCR1) LABEL('ACRCERT') RING(ACRRING) DEFAULT)
- サーバー認証クライアント使用する予定の場合 (SSL クライアント証明書サポート)、次のステップを実行します。
- クライアント認証局を検査する各認証局 (CA) 証明書を受信します。
例: ユーザー ID が CLIENT1 のクライアントを検査する CA 証明書を受信します。その証明書が USER.CLIENT1.CA というファイルにある場合、
以下のコマンドを発行します。
RACDCERT ADD('USER.CLIENT1.CA') WITHLABEL('CLIENT1 CA') CERTAUTH
- 各 CA 証明書に CERTAUTH 属性を与えます。
各クライアントの認証局 (CA) 証明書をコントローラー・ユーザー ID の鍵リングに接続します。
例: CLIENT1 CA 証明書を ASCR1 が所有しているリング ACRRING 接続する場合、次のコマンドを出します。
RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('CLIENT1 CA') RING(ACRRING))
- コントローラー・ユーザー ID に、RACF FACILITY クラスの IRR.DIGTCERT.LIST および IRR.DIGTCERT.LISTRING に対する読み取りアクセスを与えます。
例: コントローラー・ユーザー ID が ASCR1 の場合、次のコマンドを出します。
PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ID(ASCR1) ACC(READ) PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ID(ASCR1) ACC(READ)
次の作業
RACF コマンドが成功すると、RACF フェーズで終了します。