[z/OS]

z/OS 上の AMS の証明書関連操作の要約

図 1 は、送信側アプリケーションと受信側アプリケーション、および関連する証明書の間の関係を示しています。 このシナリオでは、プライバシーのデータ保護ポリシーを使用した、2 つの z/OS® キュー・マネージャー間のリモート・キューイングについて説明します。 図 1で、「AMS」は「 Advanced Message Security」を参照してください。

図1: アプリケーションと証明書の関係
この図は、アプリケーションと証明書の間のリンクを示しています。

この図では、「user1」として実行しているアプリケーションから、キュー・マネージャー CSQ1 が管理するリモート・キューにメッセージを書き込みます。これは、キュー・マネージャー CSQ2 が管理するローカル・キューから「user2」として実行しているアプリケーションが取り出すことを意図しています。 この図では、 Advanced Message Security のプライバシー・ポリシーが想定されています。これは、メッセージが署名され、暗号化されていることを意味します。

Advanced Message Security は、書き込みが行われたときにメッセージをインターセプトし、 user2の証明書 (AMS アドレス・スペース・ユーザーの鍵リングに保管されている) を使用して、メッセージ・データの暗号化に使用される対称鍵を暗号化します。

user2 の証明書は AMS アドレス・スペース・ユーザー鍵リングにオプション USAGE(SITE) を使用して接続されることに注意してください。 これは、AMS アドレス・スペース・ユーザーは証明書と公開鍵にアクセスできますが、秘密鍵にはアクセスできないことを意味します。

受信側では、 Advanced Message Security は user2によって発行された get をインターセプトし、 user2の証明書を使用して対称鍵を暗号化解除し、メッセージ・データを暗号化解除できるようにします。 その後、AMS アドレス・スペース・ユーザーの鍵リングに保管された user1 の証明書の CA 証明書チェーンを使用することによって、user1 の署名の妥当性検査が実行されます。

このシナリオで、整合性のデータ保護ポリシーを使用する場合、user2 の証明書は必要ありません。

Advanced Message Security を使用して、メッセージ保護ポリシーがプライバシーまたは保全性である IBM® MQ保護キューにメッセージをエンキューするには、 Advanced Message Security が以下のデータ項目にアクセスできる必要があります。

  • メッセージをキューに入れるユーザーの X.509 V2 または V3 の証明書と秘密鍵。
  • すべてのメッセージ署名者のデジタル証明書に署名するために使用する証明書チェーン。
  • データ保護ポリシーがプライバシーである場合、目的の受信者の X.509 V2 または V3 の証明書。 目的の受信者は、キューに関連付けられた Advanced Message Security ポリシーにリストされます。

z/OS上で実行されるプロセスおよびアプリケーションの場合、 Advanced Message Security には以下の 2 つの場所に証明書が必要です。

  • 送信側アプリケーション (保護メッセージをエンキューするアプリケーション) または受信側アプリケーション (プライバシーを使用する場合) の RACF® ID に関連付けられた SAF 管理鍵リング内。

    Advanced Message Security が見つける証明書はデフォルトの証明書であり、秘密鍵を含んでいる必要があります。 Advanced Message Security は、送信側アプリケーションの z/OS ユーザー ID を想定します。 つまり、ユーザーの秘密鍵にアクセス可能にするため、代理として動作します。

  • AMS アドレス・スペース・ユーザーに関連付けられた SAF 管理鍵リング内。

    プライバシーで保護されたメッセージを送信する場合、この鍵リングにはメッセージ受信者の公開鍵証明書が含まれています。 メッセージを受信する場合は、メッセージ送信者の署名の妥当性検査のために必要な認証局証明書のチェーンが含まれています。

前述の例では、ローカル CA として RACF を使用しています。 しかし、インストール済み環境で別の PKI プロバイダー (認証局) を使用することもできます。 別の PKI 製品を使用する予定の場合は、秘密鍵と証明書を、 Advanced Message Securityによって保護されている IBM MQ メッセージを発信する z/OS RACF ユーザー ID に関連付けられた鍵リングにインポートする必要があることに注意してください。

RACF RACDCERT コマンドを認証要求を生成するメカニズムとして使用することができます。認証要求は、エクスポートして、発行する PKI プロバイダーに送信することができます。

以下に、証明書関連の手順を要約します。

  1. CA 証明書の作成を要求します。 RACF はローカル CA です。 別の PKI プロバイダーを使用する場合、このステップは省略します。
  2. この CA が署名したユーザー証明書を生成します。
  3. ユーザーの鍵リングと Advanced Message Security AMS アドレス・スペース ID を作成します。
  4. デフォルト属性を使用してユーザー証明書をユーザー鍵リングに接続します。
  5. usage (site) 属性を使用して、受信者証明書を Advanced Message Security AMS アドレス・スペース・ユーザー鍵リングに接続します (このステップは、最終的にプライバシー保護メッセージの受信者になるユーザー証明書にのみ必要です)。
  6. メッセージ送信側の CA 証明書チェーンを Advanced Message Security AMS アドレス・スペース・ユーザー鍵リングに接続します。 (この手順は、送信者署名を検証する AMS タスクの場合にのみ必要です。)