从认证中心请求证书

您可以使用 RACF® 从认证中心 (例如 Verisign) 请求签名证书 (认证中心证书)。 使用外部证书向无法识别 RACF 证书的客户机认证服务器。

开始之前

您必须有权使用 RACDCERT 命令。 此命令在 RACF中安装并维护数字证书,密钥环和数字证书映射。

关于此任务

RACF 为各种认证中心提供证书,因此您不必自行定义这些证书。 这些证书列示在 z/OS Security Server RACF Security Administrator 's Guide 中提供的数字证书中。

过程

  1. 在 RACF 中创建自签名证书作为占位符:
    RACDCERT ID(foruser) GENCERT,
 SUBJECTSDN(CN('username') 
           T ('username''s certificate') 
           OU('department') 
           O ('organization') 
           L ('city') 
           SP('state') 
           C ('country'))
 NOTBEFORE(DATE(start) TIME(00:00:00))
 NOTAFTER (DATE(finish) TIME(23:59:59))
 WITHLABEL(self-signed-certlabel)
 SIZE     (1024)
  2. 根据占位符证书生成要发送到外部认证中心的证书请求。 使用 RACDCERT GENREQ 命令:
    RACDCERT ID(cics-region-userid) GENREQ(LABEL('label'))
         DSN('request.dataset')
    其中 label 是占位符自签名证书。
    RACF 将证书请求保存在 DSN 参数中指定的数据集中。
  3. 使用认证中心接受的方法将证书请求发送到认证中心。
  4. 接收证书时,请将其保存在新数据集中。
  5. 可选: 如果您使用的认证中心不是其中一个缺省认证中心,而证书已存储在密钥数据库中,那么必须将认证中心的证书导入到 RACF 数据库中。
  6. 将自签名证书替换为新的 CA 签名证书:
    RACDCERT ID(cics-region-userid) ADD('response.dataset') TRUST

下一步操作

在 RACF 数据库中创建密钥环,并添加 CA 签名的证书。