为 AMS 配置非z/OS 驻留 PKI

Advanced Message Security for z/OS®在保护-处理放入或从 IBM® MQ 队列接收的消息时使用 X.509 V3 数字证书。 Advanced Message Security 本身不会创建或管理这些证书的生命周期; 该功能由公用密钥基础结构 (PKI) 提供。 本出版物中说明证书使用的示例使用 z/OS 安全服务器 RACF® 来填写证书请求。

无论是否使用 z/OS 或非z/OS 驻留 PKI ， AMS for z/OS 都只使用由 RACF 或其等效项管理的密钥环。 这些密钥环基于安全授权工具 (SAF) ，是 AMS 用于 z/OS 的存储库，用于检索放置在 IBM MQ 队列上或从队列接收的消息的发起方和接收方的证书。

对于源自 z/OS(受完整性或加密策略保护) 的消息，源用户标识的证书和专用密钥必须存储在与消息发起方的 z/OS 用户标识相关联的 SAF 管理的密钥环中。

RACF 包含用于将证书和专用密钥导入到 RACF管理的密钥环中的功能。 有关如何将证书加载到z/OS Security Server RACF受管密钥环的详细信息和示例，请参阅RACF出版物。

如果您的安装正在使用其中一个受支持的 PKI 产品，请参阅产品随附的出版物以获取有关如何部署该产品的信息。