IKE デーモンおよび NSS サーバーは、それぞれ特定の ID に関連したデジタル証明書を RACF® 鍵リングから検索したり、関連する秘密鍵を使用した操作を実行したりする能力が必要です。
始める前に
CN=SYSTEMA STACK1,OU=Inventory,O=IBM,C=US という X500 識別名 (DN) と
ibm.com というドメイン名を持つ X509 デジタル証明書があるとします。
この証明書は、z/OS® 上でユーザー ID
IKED により実行されるローカル IKE デーモンを識別します。
ヒント: NSS サーバーからの証明書サービスを使用するように構成されたスタック用に証明書を作成する場合は、NSS サーバーが実行されるシステムの RACF データベースに対してこれらのコマンドを実行してください。この例のユーザー ID を、NSS サーバーを実行するユーザー ID に変更し、鍵リングを、NSS サーバーの構成ファイルで構成される鍵リングに変更します。
手順
X509 デジタル証明書をインストールするには、以下のステップを実行します。
- サーバー用の自己署名証明書を生成します。
RACDCERT ID(IKED) GENCERT SUBJECTSDN(CN('SYSTEMA STACK1') OU('Inventory') O('IBM') C('US'))
WITHLABEL('SYSTEMA STACK1') ALTNAME(DOMAIN('ibm.com'))
- 以下のいずれかのアクションを実行します。
- 選択した認証局に送信する認証要求を作成します。 この認証要求は、ステップ 1 で作成した証明書に基づいて作成します。以下のように、この証明書を USER1.SYSTEMA.STACK1.GENREQ という名前のデータ・セットに入れます。
RACDCERT ID(IKED) GENREQ(LABEL('SYSTEMA STACK1')) DSN('USER1.SYSTEMA.STACK1.GENREQ')
- 認証要求を認証局に送信します。 認証要求は、ベース 64 エンコード・テキストの形式です。一般に、認証局への要求の送信には、認証要求を認証局宛の E メールにカット・アンド・ペーストする方法が使用されます。
認証局は証明書を検査します。認証局は、証明書を承認する場合は、証明書に署名して要求者に送り返します。
- 戻された証明書を受信して、データ・セット (例えば USER1.SYSTEMA.STACK1.CERT) に入れます。 戻された証明書は、ベース 64 エンコード・テキストです。これは、FTP またはその他の技法を使用してカット・アンド・ペーストにより行うことができます。
- 自己署名証明書を、認証局が署名した証明書で置き換えます。 証明書が置き換えられるのは、RACDCERT ADD コマンドで ID 値として指定されているユーザー ID が、証明書の作成時に指定したユーザー ID と同じ場合のみです。ユーザー ID が同じであることを確認してください。
同じでない場合は、証明書は、自己署名証明書と置き換わる代わりに追加されてしまうため、証明書の秘密鍵が含まれないことになります。
RACDCERT ID(IKED) ADD('USER1.SYSTEMA.STACK1.CERT') WITHLABEL('SYSTEMA STACK1')
- 証明書を既存の鍵リングに関連付けます。
RACDCERT ID(IKED) CONNECT(LABEL('SYSTEMA STACK1') RING(ikeyring) USAGE(PERSONAL))
- 認証局の証明書を鍵リングに関連付けます。
RACDCERT ID(IKED) CONNECT(CERTAUTH LABEL('External CA') RING(ikeyring) USAGE(CERTAUTH))
これで、ルートから SYSTEMA STACK1 までの証明書階層が完成します。
- IKE デーモン構成ファイル iked.conf、または NSS サーバー構成ファイル nssd.conf に、以下のステートメントを追加します。
Keyring IKED/ikeyring
タスクの結果
目的の X509 デジタル証明書が使用可能になっており、証明書のサブジェクト名からの X500DN ID
CN=SYSTEMA
STACK1,OU=Inventory,O=IBM,C=US と、証明書の代替サブジェクト名からの FQDN ID
ibm.com にマップされていれば、上記の操作は正常に完了しています。
作成した証明書が、ユーザー ID IKED に関連した鍵リングに関連付けられていることを確認するには、RACDCERT コマンドを使用し、Ring Associations フィールドの出力を調べます。
以下のようにして、認証局が作成され、IKED/ikeyring に追加されていることを確認してください。
RACDCERT CERTAUTH LIST(LABEL('External CA')
以下のようにして、IKE デーモン用の個人証明書が作成され、IKED/ikeyring に追加されていることを確認します。
RACDCERT ID(IKED) LIST(LABEL('SYSTEMA STACK1'))
要件: 鍵リングに接続されている証明書が NSS クライアント用のものである場合、証明書ごとに SERVAUTH プロファイルを作成する必要があります。NSS クライアントに関連付けられたユーザー ID には、このプロファイルに対するアクセス権が与えられなければなりません。
NSS サーバーが実行されているシステムの RACF データベースでこのプロファイルを作成します。
これらのプロファイルについて詳しくは、
NSS のリソースを許可するためのステップを参照してください。