[z/OS]

Riepilogo delle operazioni relative alle certificazioni per AMS su z/OS

La Figura 1 illustra le relazioni tra l'invio e la ricezione di applicazioni e certificati pertinenti. Lo scenario illustrato implica l'accodamento in remoto tra due gestori code z/OS® utilizzando una politica di protezione dati della privacy. Nella Figura 1, "AMS" indica " Advanced Message Security".

Figura 1. Relazioni applicazione e certificato
Questa figura mostra i link tra le applicazioni e i certificati

In questo diagramma, un'applicazione in esecuzione come 'user1' inserisce un messaggio in una coda remota gestita dal gestore code CSQ1, che deve essere richiamato da una applicazione in esecuzione come 'user2' da una coda locale gestita dal gestore code CSQ2. Il diagramma presuppone una politica di riservatezza Advanced Message Security , che significa che il messaggio è sia firmato che codificato.

Advanced Message Security intercetta il messaggio quando si verifica un inserimento e utilizza il certificato di user2(memorizzato nel key ring dell'utente dello spazio di indirizzo AMS) per codificare una chiave simmetrica utilizzata per codificare i dati del messaggio.

Notare che il certificato di user2è connesso al file di chiavi utente dello spazio di indirizzo AMS con l'opzione USAGE (SITE). Ciò significa che l'utente dello spazio di indirizzo AMS può accedere al certificato e alla chiave pubblica, ma non alla chiave privata.

Sul lato ricevente, Advanced Message Security intercetta il richiamo emesso da user2e utilizza il certificato di user2per decodificare la chiave simmetrica in modo che possa decodificare i dati del messaggio. Convalida quindi la firma di user1utilizzando la catena di certificati CA del certificato di user1memorizzato nel key ring dell'utente dello spazio di indirizzo AMS.

Dato questo scenario, ma con una politica di protezione dei dati di integrità, non sarebbero richiesti i certificati per user2 .

Per utilizzare Advanced Message Security per accodare i messaggi sulle code IBM® MQprotette con una politica di protezione dei messaggi di privacy o integrità, Advanced Message Security deve avere accesso a questi elementi dati:

  • Il certificato X.509 V2 o V3 e la chiave privata per l'utente che accoda il messaggio.
  • La catena di certificati utilizzata per firmare i certificati digitali di tutti i firmatari di messaggi.
  • Se la politica di protezione dei dati è la privacy, il certificato X.509 V2 o V3 dei destinatari previsti. I destinatari previsti sono riportati nella politica Advanced Message Security associata alla coda.

Per i processi e le applicazioni in esecuzione su z/OS, Advanced Message Security deve avere certificati in due posizioni:

  • In un keyring gestito da SAF associato all'identità RACF® dell'applicazione di invio (l'applicazione che accoda il messaggio protetto) o dell'applicazione di ricezione (se si utilizza la riservatezza).

    Il certificato individuato da Advanced Message Security è il certificato predefinito e deve includere la chiave privata. Advanced Message Security assume l'identità utente z/OS dell'applicazione mittente. Cioè, agisce come un surrogato, in modo da poter accedere alla chiave privata dell'utente.

  • In un keyring gestito da SAF associato all'utente dello spazio di indirizzo AMS.

    Quando si inviano messaggi protetti con riservatezza, questo keyring contiene i certificati di chiave pubblica dei destinatari del messaggio. Quando si ricevono i messaggi, contiene la catena di certificati CA (Certificate Authority) necessari per convalidare la firma del mittente del messaggio.

Gli esempi precedenti mostrati hanno utilizzato RACF come CA locale. Tuttavia, è possibile utilizzare un altro provider PKI (Certificate Authority) durante l'installazione. Se si intende utilizzare un altro prodotto PKI, tenere presente che la chiave privata e il certificato devono essere importati in un file di chiavi associato agli ID utente z/OS RACF che originano i messaggi IBM MQ protetti da Advanced Message Security.

È possibile utilizzare il comando RACF RACDCERT come meccanismo per generare richieste di certificato, che possono essere esportate e inviate al provider PKI di propria scelta da emettere.

Di seguito viene riportato un riepilogo delle operazioni relative al certificato:

  1. Richiedere la creazione di un certificato CA, uno in cui RACF è la CA locale. Omettere questa fase se si sta utilizzando un altro provider PKI.
  2. Generare certificati utente firmati dalla CA.
  3. Crea i file di chiavi per gli utenti e l'ID spazio di indirizzo AMS Advanced Message Security .
  4. Collegare il certificato utente al keyring utente con l'attributo predefinito.
  5. Connettere i certificati dei destinatari al file di chiavi utente dello spazio di indirizzo Advanced Message Security AMS utilizzando l'attributo di utilizzo (sito) (questo passo è necessario solo per i certificati utente che saranno, in ultima analisi, i destinatari dei messaggi protetti dalla privacy).
  6. Connettere le catene di certificati CA per i mittenti di messaggi al keyring utente spazio di indirizzi AMS Advanced Message Security . Questo passo è necessario solo per le attività AMS che verificheranno le firme del mittente.