Crear certificados digitales y conjunto de claves utilizando RACF

Cree los certificados y el conjunto de claves para utilizarlos con AT-TLS para proteger la comunicación entre los componentes de Tivoli Management Services on z/OS .

Antes de empezar

Los certificados se utilizan para la autenticación. Puede utilizar RACF para manejar certificados para comunicaciones seguras, tal como se describe en este tema.

Sugerencia: También puede generar certificados fuera de z/OS de acuerdo con la política de su organización y, a continuación, importar los certificados a RACF o Integrated Cryptographic Service Facility (ICSF).

Para otros productos de gestión de seguridad, consulte la documentación del producto para obtener información sobre el manejo de certificados y conjuntos de claves.

Información relacionada

z/OS Security Server RACF Security Administrator's Guide: RACF y certificados digitales. Para ver una configuración de ejemplo que utiliza RACF, consulte Caso de ejemplo 1: Servidor seguro con un certificado firmado por una entidad emisora de certificados y Caso de ejemplo 2: Servidor seguro con un certificado firmado localmente.
z/OS Planning for Multilevel Security and the Common Criteria: Autenticación a través de certificados digitales de cliente

Acerca de esta tarea

Cuando configure los certificados y el conjunto de claves, realice las acciones siguientes:

Genere los certificados.
Cree el conjunto de claves que se utilizará en las reglas AT-TLS y añada el ID de usuario de la tarea iniciada de OMEGAMON como propietario.
Nota: Para obtener más información sobre la autorización de las tareas iniciadas de OMEGAMON, consulte (Si es necesario) Definir la autorización de seguridad para las tareas iniciadas de OMEGAMON.
Añada la cadena de certificados al conjunto de claves creado: certificados raíz, intermedios y personales (los certificados pueden variar en función de las políticas de la empresa).

El procedimiento siguiente proporciona mandatos RACF de ejemplo para realizar estas acciones. En el ejemplo, ITMUSER es el ID de usuario de z/OS bajo el que se ejecutan las tareas iniciadas de OMEGAMON y ITMkeyring es el nombre del conjunto de claves.

Nota: Los ejemplos están pensados como guía; puede organizar los certificados de forma diferente, en función de los requisitos del sitio.

Procedimiento

Especifique el siguiente mandato RACF para añadir autorización de usuario para el mandato RACF RACDCERT . En este ejemplo, ITMUSER es el ID de usuario de z/OS bajo el que se ejecutan las tareas iniciadas de OMEGAMON.
```
SETROPTS CLASSACT(DIGTCERT DIGTRING)
RDEFINE FACILITY IRR.DIGTCERT.LISTRING UACC(NONE)
RDEFINE FACILITY IRR.DIGTCERT.LIST UACC(NONE)

PERMIT IRR.DIGTCERT.LIST CLASS(FACILITY) ACCESS(CONTROL) ID(ITMUSER)
PERMIT IRR.DIGTCERT.LISTRING CLASS(FACILITY) ACCESS(READ) ID(ITMUSER)

SETROPTS RACLIST (DIGTRING) REFRESH
SETROPTS RACLIST (DIGTCERT) REFRESH
SETROPTS RACLIST (FACILITY) REFRESH
SETROPTS RACLIST(FACILITY) REFRESH
```
Sugerencia: Permisos para IRR.DIGTCERT de la clase FACILITY son una forma de otorgar permiso de acceso al conjunto de claves. Otra forma, que es más precisa, es crear un perfil y otorgarle permiso en la clase RDATALIB. El nivel de acceso CONTROL a los perfiles RDATALIB sólo es necesario en algunos casos (por ejemplo, si el certificado SITE se utiliza en el conjunto de claves como PERSONAL). Para obtener más información, consulte los temas siguientes en z/OS Security Server RACF Servicios invocables: AutorizaciónRACF y Notas de uso.

Especifique el siguiente mandato RACF para generar un certificado de entidad emisora de certificados (CA):

RACDCERT CERTAUTH 
         GENCERT 
         SUBJECTSDN(OU('<sysname>CA') 
                    O('IBM') 
                    L('Raleigh') 
                    SP('NC') 
                    C('US')) 
         NOTAFTER(DATE(2030-12-31)) 
         WITHLABEL('<SYSNAME>CA') 
         KEYUSAGE(CERTSIGN)

Especifique el siguiente mandato RACF para generar un certificado de sitio:

RACDCERT ID(ITMUSER) 
         GENCERT 
         SUBJECTSDN(CN('sysname.tivlab.raleigh.ibm.com') 
                    OU('<SYSNAME>') 
                    O('IBM') 
                    L('Raleigh') 
                    SP('NC') 
                    C('US')) 
         NOTAFTER(DATE(2030-12-31)) 
         WITHLABEL('<SYSNAME>Certificate') 
         SIGNWITH(CERTAUTH LABEL('<SYSNAME>CA'))

Especifique los siguientes mandatos RACF para definir el conjunto de claves, conectar el certificado y activar los cambios. En este ejemplo, ITMkeyring es el nombre del conjunto de claves.

RACDCERT ID(ITMUSER) 
         ADDRING(ITMkeyring)

RACDCERT ID(ITMUSER) 
         CONNECT(CERTAUTH LABEL('<SYSNAME>CA') 
         RING(ITMkeyring))

RACDCERT ID(ITMUSER) 
         CONNECT(ID(ITMUSER) 
         LABEL('<SYSNAME>Certificate') 
         RING(ITMkeyring) DEFAULT)

SETROPTS REFRESH RACLIST(STARTED)

Para una configuración con varios sistemas en los que el TEMS remoto y el TEMS concentrador se ejecutan en LPAR diferentes, la clave pública del certificado de CA debe exportarse y guardarse en un conjunto de datos. Debe añadir la clave pública del certificado de CA al conjunto de claves para clientes remotos.
```
RACDCERT CERTAUTH 
         EXPORT(LABEL('<sysname>CA')) 
         DSN('<output-data-set-name>')
```