メインフレーム クライアントでTLS関連の証明書が利用できる必要があります。
証明書は、メインフレーム クライアントがアクセスできる証明書ストアに格納されます。
メインフレーム クライアントの証明書ストアには利用可能な複数の選択肢があります。その例を以下に示します。
- SAF鍵リング
- 鍵データベース ファイル
- PKCS#11トークン
顧客はどの手法でも自分の好みで選択できます。SAF鍵リングは従来の手法です。
顧客は証明書をストアにロードし、後で、そのストアを参照するようにTeradata Gatewayを介したCLIを構成します。
SAF鍵リング
証明書は、RACFでロードできるメインフレームにアップロードする必要があります。
署名付き証明書では、認証局チェーンがすでにロードされている場合があります。サイトのRACF管理者にお問い合わせください。
証明書を追加する手順はIBMから提供されており、<z/OSセキュリティ サーバーRACFコマンド言語リファレンス>マニュアルの「RACDCERT ADD(証明書の追加)」セクションにあります。
顧客は証明書を次のいずれかに追加することを選択できます。
- ID(<certificate-owner>)
- SITE
- CERTAUTH
追加時に、証明書に「TRUST」とマークする必要があります。
自己署名証明書の従来の手法は、サーバー証明書をSITEに追加することです。署名付き証明書の場合、従来の手法は認証局チェーンをCERTAUTHに追加することです。
別の方法として、顧客は新しいRACFユーザーを作成するか、既存のRACFユーザーを利用し、そのIDで証明書を格納することができます。そこから、そのユーザー用の鍵リングとその鍵リングに接続されている証明書を作成できます。これらの手順は、IBMのマニュアル<z/OSセキュリティ サーバーRACFコマンド言語リファレンス>マニュアルの「RACDCERT ADDRING(鍵リングの追加)」および「RACDCERT CONNECT(証明書を鍵リングに接続)」のセクションにあります。他のユーザーがこのユーザーの鍵リングを利用するには、TLS接続に証明書を利用するすべてのユーザーに、次のアクセス許可が必要です。
UPDATE on profile IRR.DIGTCERT.LISTRING in class FACILITY
鍵データベース ファイル
鍵データベース ファイルは、Unixシステム サービスのパスワードで保護されたファイルです。
鍵データベースを作成および管理する手順は、IBMのマニュアル<z/OS暗号化サービスSystem SSLプログラミング>の「gskkymanの概要」セクションに記載されています。
自己署名証明書の場合は、単一サーバー証明書を鍵データベースにロードします。
署名付き証明書の場合は、認証局証明書を鍵データベースにロードします。
後で必要になるため、鍵データベースを保護するために使用するパスワードを書き留めておきます。
PKCS#11トークン
PKCS#11トークンは、証明書を格納するための別のメカニズムです。
鍵リング方式と同様に、証明書をシステムに追加する必要があります。
この手順はIBMから提供されており、<z/OSセキュリティ サーバーRACFコマンド言語リファレンス>マニュアルの「RACDCERT ADD(証明書の追加)」セクションにあります。
お客様は、証明書を次のいずれかに追加することを選択できます。
- ID(<certificate-owner>)
- SITE
- CERTAUTH
追加時に、証明書に「TRUST」とマークする必要があります。
証明書を追加すると、トークンを作成できます。その手順はIBMから提供されており、IBMのマニュアル<z/OSセキュリティ サーバーRACFコマンド言語リファレンス>の「RACDCERT ADDTOKEN(トークンの追加)」セクションにあります。
トークンを作成したら、証明書をそのトークンにバインドする必要があります。その手順はIBMによって提供されており、IBMのマニュアル<z/OSセキュリティ サーバーRACFコマンド言語リファレンス>の「RACDCERT BIND(トークンへの証明書のバインド)」セクションにあります。