安全套接字层安全性WebSphere Application Server for z/OS

SSL 由多个组件使用WebSphere® Application Server提供信任和隐私。这些组件包括内置 HTTP 传输、对象请求代理 (ORB)（客户机和服务器）和安全轻量级目录访问协议 (LDAP) 客户机。

以下信息假设您了解安全套接字层 (SSL) 协议以及加密服务系统 SSL 的工作原理z/OS®有关 SSL 协议的详细信息，请参阅SSL 简介在Oracle网站。

SSL 支持是可选的。然而，当行政安全启用后，管理子系统始终使用 SSL 来保护管理命令、管理控制台以及WebSphere Application Server流程。 SSL 曲目类型是 Java™ 安全套接字扩展 (JSSE)。

这WebSphere Application Server for z/OS在以下情况下启用服务器安全性时，运行时可以选择使用 SSL：

当机密性被指定为 Web 应用程序安全约束时保护 Web 应用程序。 CONFIDENTIAL 或 INTEGRAL 传输保证，确保网络客户端和网络服务器之间的通信安全，并通过 HTTPSHTTP ）传输。此外，当CLIENT_CERT在应用程序部署期间指定安全约束。
当通用安全互操作性版本 2 (CSIv2 ) 传输设置。您可以在管理控制台中单击安全>全球安全。然后，在RMI/IIOP 安全，点击CSIv2入境运输或者CSIv2出境运输。
当活动用户注册表是 LDAP 注册表时保护 LDAP 客户机和服务器之间的通信。
为了与其他产品（如客户信息控制系统（CICS®) 交易服务器z/OS，其他WebSphere Application Server版本和符合通用对象请求代理体系结构 (CORBA) 的对象请求代理。
提供安全通信介质，各种认证协议可以通过它运作。

以下限制适用于 SSL 连接WebSphere Application Server for z/OS。

JSSE被用作使用 HTTP管理请求的SSL资源类型。系统 SSL 曲目类型仅由守护进程地址空间使用，因为守护进程在没有 JVM 的情况下运行，并且 JSSE 仅在 Java 中受支持。
JSSE 指令集可以为密钥库或信任库指定 SAF 密钥环，或者指定分层文件系统 (HFS) 文件。对于系统 SSL 类型的曲目，您必须使用RACF或等效于存储数字证书和密钥的东西。将数字证书和密钥放置到 HFS 中的密钥数据库不是选项。有关为守护进程的MVS用户ID创建密钥环的信息，请参阅为守护进程安全套接字层设置密钥环。
Java 或 C++ 客户端z/OS可与WebSphere Application Server for z/OS或工作站应用服务器，并且可以使用 SSL。然而， CSIv2安全性仅支持 Java 客户端z/OS。
SSL 握手的一部分是协商用于消息保护的加密规范。两个因素决定了所使用的密码规范和密钥大小：
- 系统上安装的加密服务的安全级别，决定了可用的密码规范和密钥大小WebSphere Application Server for z/OS。
- 通过管理控制台配置服务器，允许您指定 SSL 密码套件。

SSL 和身份验证WebSphere Application Server for z/OS

SSL 提供了一种安全的通信媒介，各种身份验证协议都可以通过它运行。单个 SSL 会话可以承载多个认证协议（即方法）以证明通信各方的标识。

服务器认证

SSL 支持始终提供一种服务器用于证明其身份的机制。

为了让客户端对服务器进行身份验证，服务器必须拥有由证书颁发机构创建的签名证书。服务器传递该已签署证书以向客户机证明其身份。客户机必须具有来自发出服务器证书的同一个认证中心的 CA 证书。客户机使用 CA 证书来验证服务器的证书是否可信。验证证书之后，客户机可以认定消息确实来自该服务器，而不是其他地方。对于服务器对客户端进行身份验证来说，客户端并不会向服务器传递客户端证书来证明自己的身份。在 SSL 基本身份验证方案中，服务器通过向客户端询问用户 ID 和密码或密码短语来对客户端进行身份验证。

对于客户机，必须创建密钥环并附上来自发出服务器证书的认证中心的 CA 证书。为一个z/OS客户端，您必须使用Resource Access Control Facility（ RACF® ) 创建客户端密钥环，并将 CA 证书附加到该密钥环。

客户机认证

SSL 支持WebSphere Application Server for z/OS允许客户端使用以下选项来证明其身份。

基本认证: 通过基本身份验证，客户端通过传递目标服务器已知的用户身份和密码或密码短语来向服务器证明其身份。由于基本身份验证请求始终需要密码，因此只能建立简单的客户端到服务器连接。服务器无法将客户端的用户 ID 发送到另一台服务器以响应请求。; Az/OS客户端可以安全地与WebSphere Application Server for z/OS使用由CSIv2通用安全服务用户名密码 (GSSUP) 用户名和密码机制。 A WebSphere Application Server客户端可以安全地与WebSphere Application Server for z/OS使用 MVS 用户 ID 和密码或密码短语登录服务器。; 要定义 SSL 基本认证安全性，必须首先从签署服务器证书的认证中心请求服务器的已签署证书和认证中心 (CA) 证书。收到服务器的签名证书和证书颁发机构颁发的 CA 证书后，您必须使用RACF授权使用数字证书并存储服务器证书和密钥环。您还必须通过管理控制台为您的服务器创建 SSL 指令表别名并定义 SSL 安全属性。
客户端证书支持: 通过客户端证书支持，服务器和客户端都可以提供数字证书来相互证明自己的身份。; 当提供数字证书进行身份验证时WebSphere Application Server for z/OS，解密的证书将映射到启用的用户存储库中的有效用户身份。 Web 应用程序可以拥有数千个客户端，并且管理客户端身份验证可能是一项管理负担。当本地操作系统是启用的用户存储库时WebSphere Application Server for z/OS，SAF 证书名称过滤允许您将客户端证书映射到 MVS 用户 ID，而无需存储它们。通过证书名称过滤，您可以授权多组用户访问服务器，而无需创建 MVS 用户 ID 和管理每个用户的客户端证书的管理负担。
CSIv2 身份断言: CSIv2身份断言支持z/OS校长， X501专有名称，以及X509数字证书。
身份断言: 身份断言或可信关联使中间服务器能够安全有效地将其客户端的身份发送到目标服务器。此支持使用客户机证书建立中间服务器作为 SSL 会话的所有者。通过RACF，系统可以检查中间服务器是否可以信任。为了赋予这种级别的信任，管理员授予 CBIND 授权RACF专门运行安全系统代码的 ID。建立对该中间服务器的信任后，客户端身份（MVS 用户 ID）无需由目标服务器单独验证。这些客户端身份只需简单声明，无需身份验证。