创建证书以加密 Db2 for z/OS 与之间的连接 Data Gate

要继续设置 AT-TLS,您需要签署者证书和服务器证书。 使用该签署者证书可以签署服务器证书。 该签署者证书可以是来自外部认证中心 (CA) 或内部 CA 的证书,也可以是自签名证书。

关于本任务

SSL 连接需要一个证书,该证书用来识别服务器,以及将通往该服务器的网络连接加密。

在操作系统 z/OS® 中,此类证书由密钥管理器管理,并存储在 RACF® 名为密钥环的 RACF 对象中。 您必须在 TCPCONFIG 数据集中指定该密钥环,以使其可供 AT-TLS 组件使用。

您使用的证书可以是由外部或内部认证中心 (CA) 发放的证书。 由知名外部 CA 发放的证书有一个优势,即,只要客户机应用程序知道该 CA,建立连接的客户机就可以正确验证这些证书,而无需完成任何先决条件步骤。 客户机通常使用免费分发的预定义库,因此在许多情况下,这不是问题。

内部 CA 的库通常可供组织内的客户机应用程序链接。 这还使您能够利用已建立的基础结构的资源。

但是,如果您不具有外部或内部 CA 证书的访问权,您可以创建自签名证书。 此类证书需要在客户端进行导入(Data Gate 启用 IBM Cloud Pak for Data),因为客户端应用程序需要"确认"该证书及其背后的服务器身份是否可信。

您无需为入站访问创建额外的证书,因为系统将使用出站网络流量的证书副本。 遵循生成和导出密钥对及证书的流程, Data Gate 可确保入站和出站网络流量的证书具有相同的数字签名——因为您仅创建一份证书,将其导出后再导入该证书的副本。 两份证书上的签名必须完全一致。

下列主题中的步骤提供您所需的信息,帮助您创建自签名证书,以及使用该证书来建立正常工作的 AT-TLS 连接。

如果已有可以复用于此用途的证书,您可跳过处理证书创建的步骤,并调整必须指定正确证书的步骤。

过程

  1. 参照以下示例,向JCL作业中添加 RACF 命令,最终生成签名者证书。 此证书用于签署您在稍后步骤中创建的服务器证书。 如果已有可以用于此用途的证书(来自外部或内部 CA),您可跳过此步骤。
    
RACDCERT CERTAUTH -
GENCERT -
SUBJECTSDN(OU('DB2 SERVER CA') -
           O('IBM') -
           C('USA')) -
NOTAFTER(DATE(2030-12-31)) -
WITHLABEL('DB2 SERVER CA') -
KEYUSAGE(CERTSIGN)

    本示例中创建的签名者证书带有标签 'DB2 SERVER CA'。 RACF 使用此标签来引用该证书。 在即将执行的几个配置步骤中,必须指定此标签的名称。 请修改标签名称,使其用途在您的组织内容易识别。

  2. 添加命令以创建服务器证书,并使用步骤1 中的签名证书对其进行签名。
    • 指定启动 DDF 启动式任务的用户标识(以下示例中的 DB2USER)作为该证书的所有者。
    • 作为规范名称(CN),请指定用于联系 Db2® 子系统的 DNS 主机名。 对于数据共享组,这是该组的主机名,而不是成员主机名。
    示例如下:
    RACDCERT ID(DB2USER) -
DELETE(LABEL('DB2ASERVER CERTIFICATE'))
RACDCERT ID(DB2USER) -
         GENCERT   -
         SUBJECTSDN(CN('DB2A') -
                    O('IBM') -
                    C('USA')) -
         ALTNAME(IP(<IP address>) -
         NOTAFTER(DATE(2030-12-31)) -
         WITHLABEL('DB2ASERVER CERTIFICATE') -
         SIGNWITH(CERTAUTH LABEL('DB2 SERVER CA'))
SETR RACLIST (DIGTRING) REFRESH
SETR RACLIST (DIGTCERT) REFRESH
SETR RACLIST (FACILITY) REFRESH
    重要提示:Db2 for z/OSData Gate 连接时,服务器证书中的规范名称(CN)不会被验证。 如果证书是由其公钥已传输至 Data Gate的CA签名的,则任何主机名都将被接受。