[z/OS]

Récapitulatif des opérations liées aux certificats pour AMS sur z/OS

La Figure 1 illustre les relations entre les applications d'envoi et de réception et les certificats pertinents. Le scénario illustré implique la mise en file d'attente à distance entre deux gestionnaires de files d'attente z/OS® à l'aide d'une règle de protection des données de confidentialité. Dans la Figure 1, "AMS" indique " Advanced Message Security".

Figure 1 : Relations d'application et de certificat
Cette figure montre les liens entre les applications et les certificats

Dans ce diagramme, une application s'exécutant en tant que'user1'place un message dans une file d'attente éloignée gérée par le gestionnaire de files d'attente CSQ1, destinée à être extraite par une application s'exécutant en tant que'user2'à partir d'une file d'attente locale gérée par le gestionnaire de files d'attente CSQ2. Le diagramme suppose une politique de confidentialité Advanced Message Security , ce qui signifie que le message est à la fois signé et chiffré.

Advanced Message Security intercepte le message lorsqu'une insertion se produit et utilise le certificat de user2(stocké dans le fichier de clés de l'utilisateur de l'espace adresse AMS) pour chiffrer une clé symétrique utilisée pour chiffrer les données du message.

Notez que le certificat de user2est connecté au fichier de clés de l'utilisateur de l'espace adresse AMS avec l'option USAGE (SITE). Cela signifie que l'utilisateur de l'espace adresse AMS peut accéder au certificat et à la clé publique, mais pas à la clé privée.

A la fin de la réception, Advanced Message Security intercepte l'obtention émise par user2et utilise le certificat de user2pour déchiffrer la clé symétrique afin qu'elle puisse déchiffrer les données du message. Il valide ensuite la signature de l'utilisateur user1à l'aide de la chaîne de certificats de l'autorité de certification du certificat de l'utilisateur user1stocké dans le fichier de clés de l'utilisateur de l'espace adresse AMS.

Dans ce scénario, mais avec une politique de protection des données d'intégrité, les certificats pour user2 ne sont pas requis.

Pour utiliser Advanced Message Security pour mettre en file d'attente des messages dans des files d'attente protégées par IBM® MQayant une politique de protection des messages de confidentialité ou d'intégrité, Advanced Message Security doit avoir accès aux éléments de données suivants:

  • Le certificat et la clé privée X.509 V2 ou V3 pour l'utilisateur qui met le message en file d'attente.
  • Chaîne de certificats utilisée pour signer les certificats numériques de tous les signataires de message.
  • Si la politique de protection des données est la confidentialité, le certificat X.509 V2 ou V3 des destinataires prévus. Les destinataires prévus sont répertoriés dans la règle Advanced Message Security associée à la file d'attente.

Pour les processus et les applications qui s'exécutent sur z/OS, Advanced Message Security doit avoir des certificats à deux endroits:

  • Dans un fichier de clés géré par SAF associé à l'identité RACF® de l'application émettrice (l'application qui met en file d'attente le message protégé) ou de l'application réceptrice (si la confidentialité est utilisée).

    Le certificat qui est localisé par Advanced Message Security est le certificat par défaut et doit inclure la clé privée. Advanced Message Security suppose l'identité de l'utilisateur z/OS de l'application émettrice. C'est-à-dire qu'il agit comme un substitut, de sorte qu'il peut accéder à la clé privée de l'utilisateur.

  • Dans un fichier de clés géré par SAF associé à l'utilisateur de l'espace adresse AMS.

    Lors de l'envoi de messages protégés par la confidentialité, ce fichier de clés contient les certificats de clé publique des destinataires du message. Lors de la réception de messages, il contient la chaîne de certificats de l'autorité de certification nécessaire pour valider la signature de l'expéditeur du message.

Les exemples précédents ont utilisé RACF comme autorité de certification locale. Toutefois, vous pouvez utiliser un autre fournisseur PKI (autorité de certification) lors de votre installation. Si vous prévoyez d'utiliser un autre produit PKI, n'oubliez pas que la clé privée et le certificat doivent être importés dans un fichier de clés associé aux ID utilisateur z/OS RACF qui sont à l'origine des messages IBM MQ protégés par Advanced Message Security.

Vous pouvez utiliser la commande RACF RACDCERT comme mécanisme pour générer des demandes de certificat, qui peuvent être exportées et envoyées au fournisseur PKI de votre choix pour être émises.

Voici un récapitulatif des étapes liées aux certificats:

  1. Demandez la création d'un certificat d'autorité de certification, dans lequel RACF est l'autorité de certification locale. Omettez cette étape si vous utilisez un autre fournisseur PKI.
  2. Générez des certificats d'utilisateur signés par l'autorité de certification.
  3. Créez les fichiers de clés pour les utilisateurs et l'ID d'espace adresse AMS Advanced Message Security .
  4. Connectez le certificat utilisateur au fichier de clés de l'utilisateur avec l'attribut par défaut.
  5. Connectez les certificats des destinataires au fichier de clés de l'utilisateur de l'espace adresse AMS Advanced Message Security à l'aide de l'attribut d'utilisation (site) (cette étape est nécessaire uniquement pour les certificats d'utilisateur qui seront finalement les destinataires des messages protégés par la confidentialité).
  6. Connectez les chaînes de certificats de l'autorité de certification pour les émetteurs de messages au fichier de clés de l'utilisateur de l'espace adresse Advanced Message Security AMS. (Cette étape est nécessaire uniquement pour les tâches AMS qui vérifient les signatures d'expéditeur.)