![[z/OS]](ngzos.gif)
Accodamento locale di messaggi protetti dalla privacy per AMS su z/OS
Questo esempio descrive in dettaglio le politiche e le certificazioni Advanced Message Security necessarie per inviare e richiamare i messaggi protetti dalla privacy da e verso una coda, locale per le applicazioni di inserimento e richiamo. I messaggi protetti dalla privacy sono sia firmati che codificati.
Il gestore code di esempio e la coda locale sono i seguenti:
BNK6 - Queue manager
FIN.XFER.Q8 - Local queue
Vengono utilizzati i seguenti utenti:
WMQBNK6 - AMS task user
TELLER5 - Sending user
FINADM2 - Recipient user
I passaggi per configurare questo scenario sono:
Creare i certificati utente
In questo esempio, sono richiesti due certificati utente. Si tratta del certificato dell'utente mittente necessario per firmare i messaggi e del certificato dell'utente destinatario necessario per codificare e decodificare i dati del messaggio. L'utente mittente è 'TELLER5' e l'utente destinatario è 'FINADM2'.
È richiesto anche il certificato CA (Certificate Authority). Il certificato CA è il certificato dell'autorità che ha emesso il certificato utente. Può essere una catena di certificati. In tal caso, tutti i certificati nella catena sono necessari nel keyring dell'utente dell'attività Advanced Message Security , in questo caso l'utente WMQBNK6.
È possibile creare un certificato CA utilizzando il comando RACF® RACDCERT. Questo certificato viene utilizzato per emettere certificati utente. Ad esempio:
RACDCERT CERTAUTH GENCERT SUBJECTSDN(CN('BCOCA') O('BCO') C('US'))
KEYUSAGE(CERTSIGN) WITHLABEL('BCOCA')Questo comando RACDCERT crea un certificato CA che può essere utilizzato per emettere certificati utente per gli utenti 'TELLER5' e 'FINADM2'. Ad esempio:
RACDCERT ID(TELLER5) GENCERT SUBJECTSDN(CN('Teller5') O('BCO') C('US'))
WITHLABEL('Teller5') SIGNWITH(CERTAUTH LABEL('BCOCA'))KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN)RACDCERT ID(FINADM2) GENCERT SUBJECTSDN(CN('FinAdm2') O('BCO') C('US'))
WITHLABEL('FinAdm2') SIGNWITH(CERTAUTH LABEL('BCOCA'))KEYUSAGE(HANDSHAKE DATAENCRYPT DOCSIGN)L'installazione avrà procedure per la scelta o la creazione di un certificato CA, nonché procedure per l'emissione di certificati e la loro distribuzione ai sistemi pertinenti.
Durante l'esportazione e l'importazione di questi certificati, Advanced Message Security richiede:
- Il certificato CA (catena).
- Il certificato utente di invio e la relativa chiave privata.
- Il certificato utente del destinatario e la relativa chiave privata.
Se si utilizza RACF, il comando RACDCERT EXPORT può essere utilizzato per esportare i certificati in un dataset e il comando RACDCERT ADD può essere utilizzato per importare i certificati dal dataset. Per ulteriori informazioni su questi e altri comandi RACDCERT, fare riferimento a RACDCERT (GestisciRACF certificati digitali) nelz/OS : Server di sicurezzaRACF Riferimento al linguaggio di comando .
I certificati in questo caso sono richiesti sul z/OS® sistema su cui è in esecuzione il gestore code BNK6.
Quando i certificati sono stati importati sul sistema z/OS su cui è in esecuzione BNK6, i certificati utente richiedono l'attributo TRUST. Il comando RACDCERT ALTER può essere utilizzato per aggiungere l'attributo TRUST al certificato. Ad esempio:
RACDCERT ID(TELLER5) ALTER (LABEL('Teller5')) TRUSTRACDCERT ID(FINADM2) ALTER (LABEL('FinAdm2')) TRUSTConnetti i certificati ai portachiavi pertinenti
Quando i certificati richiesti sono stati creati o importati e impostati come attendibili, devono essere connessi ai keyring utente appropriati sul sistema z/OS su cui è in esecuzione BNK6. Per creare i keyring utilizzare il comando RACDCERT ADDRING:
RACDCERT ID(WMQBNK6) ADDRING(drq.ams.keyring)RACDCERT ID(TELLER5) ADDRING(drq.ams.keyring)RACDCERT ID(FINADM2) ADDRING(drq.ams.keyring)Ciò crea un file di chiavi per l'utente dell'attività Advanced Message Security e i file di chiavi per gli utenti di invio e destinatario. Notare che il nome del key ring drq.ams.keyring è obbligatorio e il nome è sensibile al maiuscolo / minuscolo.
Una volta creati i portachiavi, è possibile collegare i certificati pertinenti.
RACDCERT ID(WMQBNK6) CONNECT(CERTAUTH LABEL('BCOCA')
RING(drq.ams.keyring))RACDCERT ID(WMQBNK6) CONNECT(ID(FINADM2) LABEL('FinAdm2')
RING(drq.ams.keyring) USAGE(SITE))RACDCERT ID(TELLER5) CONNECT(ID(TELLER5) LABEL('Teller5')
RING(drq.ams.keyring) DEFAULT USAGE(PERSONAL))RACDCERT ID(FINADM2) CONNECT(ID(FINADM2) LABEL('FinAdm2')
RING(drq.ams.keyring) DEFAULT USAGE(PERSONAL))I certificati utente mittente e destinatario devono essere connessi come DEFAULT. Se uno degli utenti ha più di un certificato nel proprio drq.ams.keyring, il certificato predefinito viene utilizzato per scopi di firma e decodifica.
Il certificato dell'utente destinatario deve essere collegato anche al keyring dell'utente dell'attività Advanced Message Security con USAGE (SITE). Questo perché l'attività Advanced Message Security richiede la chiave pubblica del destinatario quando si codificano i dati del messaggio. Lo USAGE (SITE) impedisce che la chiave privata sia accessibile nel key ring.
La creazione e la modifica dei certificati non viene riconosciuta da Advanced Message Security fino a quando il gestore code non viene arrestato e riavviato o il comando z/OS MODIFY non viene utilizzato per aggiornare la configurazione del certificato Advanced Message Security . Ad esempio:
F BNK6AMSM,REFRESH KEYRINGCreare la politica Advanced Message Security
In questo esempio, i messaggi protetti dalla privacy vengono inseriti nella coda FIN.XFER.Q8 da parte di un'applicazione in esecuzione come utente 'TELLER5' e richiamata dalla stessa coda da un'applicazione in esecuzione come utente 'FINADM2', per cui è richiesta una sola politica Advanced Message Security .
Le politiche Advanced Message Security vengono create utilizzando il programma di utilità CSQ0UTIL documentato in Il programma di utilità della politica di sicurezza dei messaggi (CSQ0UTIL).
Utilizzare il programma di utilità CSQ0UTIL per eseguire il seguente comando:
setmqspl -m BNK6 -p FIN.XFER.Q8 -s SHA1 -e 3DES -a CN=Teller5,O=BCO,C=US -r CN=FinAdm2,O=BCO,C=USIn questa politica, il gestore code viene identificato come BNK6. Il nome della politica e la coda associata è FIN.XFER.Q8. L'algoritmo utilizzato per generare la firma del mittente è ![[Obsoleto]](ngdeprecated.gif)
SHA1, il nome distinto (DN) dell'utente mittente èCN=Teller5,O=BCO,C=US' e l'utente destinatario è 'CN=FinAdm2,O=BCO,C=US'. L'algoritmo utilizzato per crittografare i dati del messaggio è3DES .
Dopo aver definito la politica, riavviare il gestore code BNK6 oppure utilizzare il comando z/OS MODIFY per aggiornare la configurazione della politica Advanced Message Security . Ad esempio:
F BNK6AMSM,REFRESH POLICY