Resumen de las operaciones relacionadas con el certificado para AMS en z/OS

La Figura 1 ilustra las relaciones entre el envío y la recepción de aplicaciones y certificados relevantes. El escenario ilustrado implica la colocación en cola remota entre dos gestores de colas de z/OS® utilizando una política de privacidad de protección de datos. En la Figura 1, "AMS" indica " Advanced Message Security".

En este diagrama, una aplicación que se ejecuta como 'user1' coloca un mensaje en una cola remota gestionada por el gestor de colas CSQ1, con la intención de que lo recupere una aplicación que se ejecuta como 'user2' desde una cola local gestionada por el gestor de colas CSQ2. El diagrama presupone una política de privacidad de Advanced Message Security , lo que significa que el mensaje está firmado y cifrado.

Advanced Message Security intercepta el mensaje cuando se produce una colocación y utiliza el certificado de user2(almacenado en el conjunto de claves del usuario del espacio de direcciones AMS) para cifrar una clave simétrica utilizada para cifrar los datos del mensaje.

Tenga en cuenta que el certificado de user2 está conectado al conjunto de claves del espacio de direcciones AMS con la opción USAGE(SITE). Esto significa que el usuario del espacio de direcciones AMS puede acceder al certificado y a la clave pública pero no a la clave privada.

En el extremo receptor, Advanced Message Security intercepta la obtención emitida por user2y utiliza el certificado de user2para descifrar la clave simétrica para que pueda descifrar los datos del mensaje. A continuación, valida la firma de user1 utilizando la cadena de certificados de CA del certificado de user1 almacenado en el conjunto de claves del usuario del espacio de direcciones AMS.

En este caso de uso, pero con una política de integridad de protección de datos, no serían necesarios los certificados para user2.

Para utilizar Advanced Message Security para poner en cola mensajes en colas protegidas por IBM® MQque tienen una política de protección de mensajes de privacidad o integridad, Advanced Message Security debe tener acceso a estos elementos de datos:

• El certificado X.509 V2 o V3 y la clave privada del usuario que está colocando el mensaje en la cola.
• La cadena de certificados utilizada para firmar los certificados digitales de todos los firmantes de mensajes.
• Si la política de protección de datos es de privacidad, el certificado X.509 V2 o V3 de los destinatarios previstos. Los destinatarios previstos se listan en la política Advanced Message Security asociada a la cola.

Para procesos y aplicaciones que se ejecutan en z/OS, Advanced Message Security debe tener certificados en dos lugares:

• En un conjunto de claves gestionado por SAF asociado con la identidad RACF® de la aplicación emisora (la aplicación que pone en cola el mensaje protegido) o la aplicación receptora (si se utiliza la privacidad).

  El certificado que localiza Advanced Message Security es el certificado predeterminado y debe incluir la clave privada. Advanced Message Security presupone la identidad de usuario de z/OS de la aplicación emisora. Es decir, actúa como un sustituto, de modo que puede acceder a la clave privada del usuario.

• En un conjunto de claves gestionado por SAF con el usuario del espacio de direcciones AMS.

  Cuando envía mensajes protegidos por privacidad, este conjunto de claves contiene los certificados de claves públicas de los destinatarios de los mensajes. Cuando recibe mensajes, contiene la cadena de certificados de la autoridad certificadora necesaria para validar la firma del emisor del mensaje.

Los ejemplos anteriores mostrados han utilizado RACF como CA local. Sin embargo, puede utilizar otro proveedor de PKI (autoridad certificadora) en su instalación. Si tiene previsto utilizar otro producto PKI, recuerde que la clave privada y el certificado deben importarse en un conjunto de claves asociado con los ID de usuario de z/OS RACF que originan los mensajes de IBM MQ protegidos por Advanced Message Security.

Puede utilizar el mandato RACDCERT de RACF como mecanismo para generar solicitudes de certificado, que se pueden exportar y enviar al proveedor PKI de su elección para que se emitan.

El siguiente es un resumen de los pasos relacionados con el certificado:

1. Solicite la creación de un certificado de CA, uno en el que RACF sea la CA local. Omita este paso si está utilizando otro proveedor de PKI.
2. Genere certificados de usuario firmados por la CA.
3. Cree los conjuntos de claves para los usuarios y el ID de espacio de direcciones AMS de Advanced Message Security .
4. Conecte el certificado de usuario al conjunto de claves de usuario con el atributo predeterminado.
5. Conecte los certificados de destinatarios al conjunto de claves de usuario del espacio de direcciones AMS de Advanced Message Security utilizando el atributo de uso (sitio) (este paso sólo es necesario para los certificados de usuario que finalmente serán los destinatarios de los mensajes protegidos por privacidad).
6. Conecte las cadenas de certificados de CA para los remitentes de mensajes al conjunto de claves de usuario del espacio de direcciones AMS de Advanced Message Security . Este paso es necesario únicamente para las tareas AMS que verificarán las firmas del emisor.