[z/OS]

Secure Sockets Layer-Sicherheit für WebSphere Application Server for z/OS

SSL wird von mehreren Komponenten innerhalb von WebSphere® Application Server um Vertrauen und Privatsphäre zu gewährleisten. Dies sind Komponenten, die den integrierten HTTP-Transport, den ORB (Client und Server) und den sicheren LDAP-Client (Lightweight Directory Access Protocol) umfassen.

Die folgenden Informationen setzen voraus, dass Sie das Secure Sockets Layer (SSL)-Protokoll und die Funktionsweise von Cryptographic Services System SSL verstehen. z/OS® Weitere Informationen zum SSL-Protokoll finden Sie unter Einführung in SSL auf der Oracle Webseite.

SSL-Unterstützung ist optional. Wenn jedoch Verwaltungssicherheit aktiviert ist, wird SSL immer vom Verwaltungssubsystem verwendet, um Verwaltungsbefehle, die Verwaltungskonsole und die Kommunikation zwischen WebSphere Application Server Prozesse. Der SSL-Repertoiretyp ist Java™ Secure Socket Extension (JSSE).

Der WebSphere Application Server for z/OS Die Runtime kann optional SSL verwenden, wenn die Serversicherheit in den folgenden Fällen aktiviert ist:
  • Zum Schutz von Webanwendungen, wenn Vertraulichkeit als Sicherheitsbeschränkung für Webanwendungen angegeben ist. Eine Transportgarantie von CONFIDENTIAL oder INTEGRAL garantiert, dass die Kommunikation zwischen dem Webclient und dem Webserver gesichert ist und über HTTPSHTTP transportiert wird. Darüber hinaus können Sie SSL zur Client-Authentifizierung verwenden, wenn derCLIENT_CERT Sicherheitseinschränkung wird während der Anwendungsbereitstellung angegeben.
  • Zum Schutz von Inter-ORB Protocol (IIOP)-Anfragen, wenn SSL/TLS in der Common Secure Interoperability Version 2 unterstützt oder erforderlich ist (CSIv2 ) Transporteinstellungen. Sie können diese Einstellungen in der Verwaltungskonsole aktivieren, indem Sie auf Sicherheit > Globale Sicherheit . Dann unter RMI/IIOP-Sicherheit, klicken CSIv2 Inbound-Transport oder CSIv2 Ausgangstransport.
  • Zum Schutz der Kommunikation zwischen einem LDAP-Client und -Server, wenn es sich bei der aktiven Benutzerregistry um eine LDAP-Registry handelt.
  • Um eine sichere Interoperabilität mit anderen Produkten zu gewährleisten, wie etwa dem Customer Information Control System ( CICS®) Transaktionsserver für z/OS, andere WebSphere Application Server Versionen und Common Object Request Broker Architecture (CORBA)-kompatible Objektanforderungsbroker.
  • Bereitstellung eines sicheren Übertragungsmediums, das verschiedene Authentifizierungsprotokolle verwenden kann.
Die folgenden Einschränkungen gelten für SSL-Verbindungen auf WebSphere Application Server for z/OS.
  • JSSE wird als SSL-Repertoytyp für Verwaltungsanfragen verwendet, die HTTP verwenden. Der System-SSL-Repertoiretyp wird nur vom Daemon Address Space verwendet, da der Daemon ohne JVM ausgeführt wird und JSSE nur in Java unterstützt wird.
  • JSSE-Repertoires können entweder einen SAF-Schlüsselbund für den Keystore bzw. Truststore oder eine hierarchische Dateisystemdatei (HFS) angeben. Für Repertoires vom Typ System SSL müssen Sie RACF oder ein Äquivalent zum Speichern digitaler Zertifikate und Schlüssel. Das Ablegen von digitalen Zertifikaten und Schlüsseln in einer Schlüsseldatenbank im HFS ist keine Option. Informationen zum Erstellen eines Schlüsselrings für die MVS-Benutzer-ID des Daemons finden Sie unter Einrichten eines Schlüsselrings zur Verwendung durch Daemon Secure Sockets Layer.
  • Entweder ein Java- oder C++-Client auf z/OS ist kompatibel mit einem WebSphere Application Server for z/OS oder Workstation-Anwendungsserver und kann SSL verwenden. Jedoch, CSIv2 Sicherheit unterstützt nur Java-Clients auf z/OS.
  • Teil des SSL-Handshakes ist die Aushandlung der kryptografischen Spezifikationen, die zum Nachrichtenschutz verwendet werden. Zwei Faktoren bestimmen die verwendeten Verschlüsselungsspezifikationen und Schlüsselgrößen:
    • Die Sicherheitsstufe der auf dem System installierten kryptografischen Dienste, die die verfügbaren Verschlüsselungsspezifikationen und Schlüsselgrößen bestimmt WebSphere Application Server for z/OS.
    • Die Konfiguration des Servers erfolgt über die Verwaltungskonsole, die Ihnen die Angabe von SSL-Chiffre-Suiten ermöglicht.

SSL und Authentifizierung auf WebSphere Application Server for z/OS

SSL bietet ein sicheres Kommunikationsmedium, über das verschiedene Authentifizierungsprotokolle funktionieren können. Eine SSL-Sitzung kann mehrere Authentifizierungsprotokolle (Methoden für den Nachweis der Identität der Kommunikationspartner) benutzen.

Serverauthentifizierung

Die SSL-Unterstützung bietet immer einen Mechanismus an, mit dem der Server seine Identität nachweist.

Damit der Client den Server authentifizieren kann, muss der Server über ein signiertes Zertifikat verfügen, das von einer Zertifizierungsstelle erstellt wurde. Der Server übergibt das signierte Zertifikat, um dem Client seine Identität zu beweisen. Das CA-Zertifikat des Clients muss von der Zertifizierungsstelle stammen, die das Serverzertifikat ausgestellt hat. Mit dem CA-Zertifikat überprüft der Client, ob das Serverzertifikat authentisch ist. Nach dieser Überprüfung kann der Client sicher sein, dass Nachrichten wirklich von diesem Server stammen. Damit der Server den Client authentifizieren kann, übergibt der Client kein Client-Zertifikat, um dem Server seine Identität nachzuweisen. Beim SSL-Basisauthentifizierungsschema authentifiziert der Server den Client, indem er den Client zur Eingabe einer Benutzer-ID und eines Kennworts oder einer Kennwortphrase auffordert.

Für Clients müssen Sie einen Schlüsselring erstellen und diesen an das CA-Zertifikat der Zertifizierungsstelle, die das Serverzertifikat ausgestellt hat, anhängen. Für ein z/OS Client müssen Sie den Resource Access Control Facility ( RACF® ), um einen Client-Schlüsselring zu erstellen und das CA-Zertifikat an diesen Schlüsselring anzuhängen.

Clientauthentifizierung
Die SSL-Unterstützung auf WebSphere Application Server for z/OS bietet dem Client folgende Möglichkeiten, seine Identität nachzuweisen.
Basisauthentifizierung
Bei der Basisauthentifizierung weist ein Client dem Server seine Identität nach, indem er eine Benutzeridentität und ein Kennwort oder eine Kennwortphrase übergibt, die dem Zielserver bekannt ist. Da bei einer grundlegenden Authentifizierungsanforderung immer ein Kennwort erforderlich ist, können nur einfache Client-Server-Verbindungen hergestellt werden. Der Server kann die Benutzer-ID eines Clients nicht für eine Antwort auf eine Anforderung an einen anderen Server senden.

A z/OS Client kann sicher kommunizieren mit WebSphere Application Server for z/OS mit einer Benutzerkennung und einem Passwort gemäß den CSIv2 Generischer GSSUP-Benutzername- und Kennwortmechanismus (Security Services Username Password). A WebSphere Application Server Client kann sicher kommunizieren mit einem WebSphere Application Server for z/OS Server mithilfe einer MVS-Benutzer-ID und eines Kennworts oder einer Kennwortphrase.

Wenn Sie die SSL-Basisauthentifizierung definieren möchten, müssen Sie zunächst ein signiertes Zertifikat für Ihren Server und ein CA-Zertifikat von der Zertifizierungsstelle, die das Serverzertifikat signiert hat, anfordern. Nachdem Sie ein signiertes Zertifikat für Ihren Server und ein CA-Zertifikat von der Zertifizierungsstelle erhalten haben, müssen Sie RACF um die Verwendung digitaler Zertifikate zu autorisieren und Serverzertifikate und Schlüsselringe zu speichern. Sie müssen außerdem einen SSL-Repertoire-Alias erstellen und SSL-Sicherheitseigenschaften für Ihren Server über die Verwaltungskonsole definieren.

Client-Zertifikat-Unterstützung
Mithilfe der Client-Zertifikatsunterstützung stellen sowohl der Server als auch der Client digitale Zertifikate bereit, um sich gegenseitig ihre Identität nachzuweisen.
Wenn digitale Zertifikate zur Authentifizierung bereitgestellt werden, WebSphere Application Server for z/OS, das entschlüsselte Zertifikat wird einer gültigen Benutzeridentität im aktivierten Benutzer-Repository zugeordnet. Webanwendungen können Tausende von Clients haben und die Verwaltung der Client-Authentifizierung kann einen Verwaltungsaufwand darstellen. Wenn das lokale Betriebssystem das aktivierte Benutzer-Repository ist auf WebSphere Application Server for z/OS, die SAF-Zertifikatsnamenfilterung ermöglicht Ihnen, Client-Zertifikate MVS-Benutzer-IDs zuzuordnen, ohne sie zu speichern. Durch Zertifikatsnamenfilterung können Sie Benutzergruppen zum Zugriff auf Server autorisieren, ohne dass Sie für jeden Benutzer den Verwaltungsaufwand für die Erstellung von MVS-Benutzer-IDs und die Verwaltung von Client-Zertifikaten aufbringen müssen.
CSIv2-Identitätszusicherung
CSIv2 Identitätsbehauptung unterstützt z/OS Schulleiter, X501 namhafte Namen und X509 digitale Zertifikate.
IDAssertion (Zusicherung der Identität)
Durch die Identitätsbehauptung oder vertrauenswürdige Zuordnung kann ein Zwischenserver die Identitäten seiner Clients sicher und effizient an einen Zielserver senden. Diese Unterstützung verwendet Clientzertifikate, um den zwischengeschalteten Server als Eigner einer SSL-Sitzung zu etablieren. Durch RACF kann das System überprüfen, ob der Zwischenserver vertrauenswürdig ist. Um dieses Maß an Vertrauen zu gewährleisten, wird die CBIND-Autorisierung von Administratoren erteilt an RACF IDs, die ausschließlich sicheren Systemcode ausführen. Nachdem das Vertrauen zu diesem Zwischenserver hergestellt wurde, müssen die Clientidentitäten (MVS-Benutzer-IDs) vom Zielserver nicht mehr separat überprüft werden. Diese Clientidentitäten werden einfach behauptet, ohne dass eine Authentifizierung erforderlich ist.