• principal_3

    Desde 2015, enseñando sobre el sistema operativo z/OS de IBM en esta web. z/OS se utiliza en máquinas llamadas Mainframe.

  • principal_1

    Para realizar el contenido, utilizo el producto de IBM llamado z/Development and Test Environtment Personal Edition. Este software permite emular un Mainframe y así poder utilizar z/OS para aprender.

  • principal_2

    Es utilizado por grandes empresas (bancos, aseguradoras...). Aquí aprenderás a instalar y configurar productos relacionados con z/OS.

  • principal_4

    ADCD es una distribución de z/OS que contiene productos de IBM como IMS, DB2, CICS, ZOWE, TWS, NetView, System Automation, etc.

RACF - Importar certificados SSL firmados

RACF - Importar certificados SSL firmados

Attachments:
FileDescriptionFile size
Download this file ($$0CRECR.txt)$$0CRECRCrea certificado1 kB
Download this file ($$1CCSR.txt)$$1CCSRCrea fichero CSR0.5 kB
Download this file ($00CHKCR.txt)$00CHKCRComprueba certificados nuevos0.6 kB
Download this file ($01LSTCR.txt)$01LSTCRDisplay anillo y certificados actuales1 kB
Download this file ($02RMVCR.txt)$02RMVCRQuita certificados del anillo1 kB
Download this file ($03DELCR.txt)$03DELCRBorra certificados de RACF0.8 kB
Download this file ($04REFCR.txt)$04REFCRRefresca config certificados0.7 kB
Download this file ($05IMP12.txt)$05IMP12Importa cert. en PKCS120.6 kB
Download this file ($05IMPCA.txt)$05IMPCAImporta certificado CA0.4 kB
Download this file ($05IMPCR.txt)$05IMPCRImporta certificado servidor0.5 kB
Download this file ($06CONCR.txt)$06CONCRConecta certificados al anillo1 kB
Download this file ($07REFCR.txt)$07REFCRRefresca config. Display de certificados1 kB
Download this file ($16DELCR.txt)$16DELCRBorra certificado con FORCE0.4 kB

Esta entrada consiste en generar unos certificados SSL válidos e importarlos en RACF.

En mi caso, estos certificados los voy a usar en z/OSMF. Los pasos deberían ser similares si elegimos otro producto. Los usaré para que al conectar z/OSMF aparezca como https válido.

Al entrar a la web de z/OSMF, indica que el certificado no es válido.

000 watermark

 

 001 watermark

 

Para que sea un certificado válido, debe ser firmado por una autoridad verificada. No vale un certificado autogenerado por RACF sin firmar (por ejemplo).

Primero generamos un certificado. Es obligatorio que en “CN” y “ALTNAME” pongamos el nombre del dominio ya que, si no lo ponemos, no podremos generar el certificado firmado.

002 watermark

 

Ahora con el siguiente job tenemos que generar el fichero CSR (Certificate Signing Request). Lo usaremos más adelante para generar el certificado firmado. De esta forma, ya tendremos la clave privada (private key) en z/Os.

Lo tuve que hacer así porque si generaba todo el certificado firmado (con la clave privada incluida), después me daba error al importarlo en z/OS.

003 watermark

 

El fichero CSR será similar al siguiente:

004 watermark

 

Para hacer esta entrada, voy a elegir un servicio gratuito. Este certificado tiene una validez de 90 días.

Usaré el servicio de ZeroSSL (https://zerossl.com/). Existen otros gratuitos, como CerBot. Ambos utilizan Let’s Encrypt. He elegido este porque sirve para mi propósito de enseñar. En sistemas de empresas, lo normal sería utilizar un certificado SSL de pago.

Ya me he registrado y he accedido a mi cuenta. Clic en “New Certificate”.

005 watermark

 

Ponemos el nombre del dominio que tengamos configurado z/OS.

006 watermark

 

En mi caso, elijo 90 días.

007 watermark

 

Usaremos el CSR generado en pasos anteriores.

008 watermark

 

En mi caso, elijo el gratuito.

009 watermark

 

Ahora hay que verificar que nosotros poseemos el dominio. Hay varias formas: email, entrada en DNS o subiendo un fichero al servidor web.

En mi caso, voy a elegir DNS ya que solo tengo comprado el dominio (sin servidor).

010 watermark

 

Voy a la gestión del dominio para editar las entradas DNS.

011 watermark

 

Creamos la entrada DNS con los datos indicados en ZeroSSL.

012 watermark

 

Volvemos a ZeroSSL y pulsamos en “Next step”. Ahora pulsamos “Verify Domain”.

013 watermark

 

Una vez verificado, ya podemos descargar el certificado.

014 watermark

 

 

Tendremos los siguientes ficheros:

015 watermark

 

Si, por algún motivo, tuvieseis que cambiar el tipo de salto de línea de los certificados para adaptarlo a Windows (no va a ser necesario en este caso), os explico cómo hacerlo.

Para hacer esto, podremos usar Notepad++. Abrimos uno de los certificados con Notepad++.

Vamos al menú “Vista”, “Mostrar símbolo” y seleccionamos “Mostrar todos los caracteres”. Veremos que al final de la línea aparece “LF”.

016 watermark

 

Pulsamos “Control+F” y vamos a la pestaña “Reemplazar”.

Marcamos la opción “Extendido” y reemplazamos “\n” por “\r\n”.

017 watermark

 

Veremos que aparece “CRLF”.

018 watermark

 

Para subir los certificados de forma individual, lo más sencillo es abrir ambos certificados con un editor de texto y copiar el contenido.

020 watermark

 

Creamos dos datasets secuenciales (PS), con Record Format “VB” y Record Length “84”

021 watermark

 021a watermark

 

021b watermark

 

Ahora vamos a preparar una serie de jobs para importarlo a RACF y añadirlos al anillo, borrando los existentes previamente.

Usaré varios jobs que se pueden descargar al principio de la entrada.

Primero debemos conocer el anillo que contiene los certificados. Los anillos deben estar asociados al usuario de la tarea correspondiente (owner). En este caso, IZUSVR.

023 watermark

 

Con el siguiente comando listamos los anillos de este usuario:

TSO RACDCERT ID(IZUSVR) LISTRING(*)

024 watermark

 

Para saber el anillo que debemos modificar, hay que mirar la configuración (IZUPRMxx) de la tarea de z/OSMF.

025 watermark

 

En este caso, se trata del miembro IZUPRM00. Solo hay que buscarlo en la PARMLIB correspondiente. Uso el anillo “ZOSMF_Keyring”.

026 watermark

 

Empezamos haciendo un display de la configuración actual. En mi caso, estos certificados los añadiré a zOSMF, por lo tanto, todos los jobs trabajarán sobre el anillo ZOSMF_Keyring.

Antes de empezar a borrar certificados es conveniente confirmar que los certificados que hemos subido son correctos. No queremos llevarnos una sorpresa una vez hayamos empezado a borrar certificados.

$00CHKCR. Comprueba que los certificados que hemos puesto en los dataset son correctos.

027 watermark

 

Comprobamos que en ambos certificados nos muestra información.

028 watermark

 

$01LSTCR. Hace un display del anillo y de los certificados.

Para saber si hay que usar “ID(IZUSVR)” o “CERTAUTH”, podemos fijarnos en la columna “Cert Owner” de la imagen anterior. Así sabremos qué debemos poner.

Terminará con RC=0.

Debemos tener en cuenta que el certificado ADCD_COMMON se usa en más anillos, por lo tanto, lo podemos sacar de este anillo, pero no debemos borrarlo.

 028a watermark

 

$02RMVCR. Saca del anillo los certificados que ya no necesitamos.

Terminará con RC=0.

029 watermark

 

$03DELCR. Este job es opcional porque borra los certificados de RACF.

Debemos tener claro que queremos/debemos ejecutarlo. En mi caso, lo dejaré sin ejecutar.

Terminará con RC=0.

030 watermark

 

$16DELCR. Sirve para borrar el certificado que usamos para crear el fichero CSR. Para borrarlo, es obligatorio añadir el parámetro FORCE.

No es necesario borrarlo. Pongo el job a modo informativo.

031 watermark

 

$04REFCR. Refresca la configuración de RACF y hace un display del anillo para comprobar que los certificados ya no están.

Terminará con RC=0.

032 watermark

 

Comprobamos que ya no están.

033 watermark

 

$05IMP12. Este job añade el fichero “.P12” que creamos en los primero pasos. En mi caso, no funcionó, pero lo dejo a modo informativo.

034 watermark

 

$05IMPCA. Este job añade el certificado CA a RACF.

Terminará con RC=0.

035 watermark

 

036 watermark

 

$05IMPCR. Este job añade el certificado del servidor firmado (server certificate) a RACF.

Terminará con RC=0.

037 watermark

 

038 watermark

 

$06CONCR. Conecta los certificados al anillo.

Terminará con RC=0.

039 watermark

 

$07REFCR. Refresca la configuración y hace display del anillo de y los certificados.

Terminará con RC=0.

040 watermark

 

041 watermark

 

Ahora paramos y arrancamos las tareas de z/OSMF (IZUANG1 y IZUSVR1) para que utilice los nuevos certificados.

Cuando entremos de nuevo a la web, ya veremos que el certificado es válido.

042 watermark

 

043 watermark

 

Espero que os haya gustado. ¡Hasta pronto! 

 

 

 

Related Articles

Free Joomla! templates by Engine Templates