![[z/OS]](ngzos.gif)
替换证书
当更新或替换证书时 (例如,当现有证书接近其到期日期时) ,并非总是可以从已在受机密性或隐私策略保护的队列上的现有消息中除去保护。
当证书为:
- 使用同一专用密钥进行了更新,并且重新发放的证书已替换了原始证书
- 使用新的专用密钥重新键入,并且 RACDCERT ROLLOVER 命令已删除原始专用密钥
在 APAR PH44820之前,当新证书作为缺省证书连接到用户的密钥环时,无法再解密使用旧证书加密的消息。 应用 APAR PH44820 时,将对消息进行解密,前提是必需的证书已连接到用户的密钥环; 不再需要将其作为缺省值进行连接。 这允许在连接新证书时已在队列上的消息成功解密。
以下示例显示应用 APAR PH44820 时如何根据现有证书生成新证书:
- 将根据现有证书创建新证书,其中包含新的公用/专用密钥对。
- 新证书由发证机关签署。
- 从 AMS 地址空间的密钥环中除去旧证书的公用密钥,并添加新证书的公用密钥。
- 除了旧证书外,还会将新证书和专用密钥添加到用户的密钥环中。
RACDCERT ID(user1) REKEY(LABEL('user1')) -
WITHLABEL('user1new')
RACDCERT GENREQ(LABEL('user1new')) ID(user1) -
DSN(output_data_set_name)
RACDCERT GENCERT(output_data_set_name) ID(user1) -
SIGNWITH(CERTAUTH LABEL('AMSCA'))
RACDCERT ID(user1) ALTER (LABEL('user1new')) -
TRUST
RACDCERT ID(WMQAMSD) REMOVE(ID(user1) -
LABEL('user1') -
RING(drq.ams.keyring) )
RACDCERT ID(WMQAMSD) CONNECT(ID(user1) -
LABEL('user1new') USAGE(SITE) -
RING(drq.ams.keyring) )
RACDCERT ID(user1) CONNECT(ID(user1) -
LABEL('user1new') USAGE(PERSONAL) -
RING(drq.ams.keyring) DEFAULT )有关证书,标签和 RACDCERT 命令的更多信息,请参阅 z/OS®: Security Server RACF® Command Language Reference 和 z/OS: Security Server RACF Security Administrator 's Guide。