Wenn mit Authentifizierung gearbeitet wird spielt die Instanzidentifikation eine besondere Rolle.
Instanzidentifikation
Für die Authentifizierung ist es notwendig, dass die Instanzindentifikation netzweit eindeutig ist.
Lokale Instanzidentifikation
Bei der Installation wird standardmäßig der Name des realen BCAM-Hosts als Instanzidentifikation festgelegt. Falls die netzweite Eindeutigkeit nicht gesichert ist, müssen Sie die Instanzidentifikation ändern. Dazu verwenden Sie folgendes Kommando:
MODIFY-FT-OPTIONS , IDENTIFICATION=instanz-id.
Instanzidentifikation von Partnern
Instanzidentifikationen von Partnersystemen hinterlegen Sie mit dem Parameter IDENTIFICATION der Kommandos ADD-FT-PARTNER bzw. MODIFY-FT-PARTNER in der Partnerliste. Anhand der Instanzidentifikationen der Partnersysteme verwaltet openFT die diesen Partnern zugeordneten Betriebsmittel wie z.B. Auftragswarteschlangen und kryptografische Schlüssel.
Lokale RSA-Schlüsselpaare erzeugen und verwalten
RSA-Schlüssel werden für die Authentifizierung und die Aushandlung des AES-Schlüssels verwendet, mit dem die Auftragsbeschreibungsdaten und Dateiinhalte verschlüsselt werden.
Zum Erzeugen und Verwalten von lokalen RSA-Schlüsseln stehen Ihnen folgende Kommandos zur Verfügung:
CREATE-FT-KEY-SET | erzeugt für die lokale openFT-Instanz einen RSA- Schlüsselpaarsatz |
SHOW-FT-KEY | gibt die Eigenschaften aller Schlüssel im lokalen System aus |
UPDATE-FT-PUBLIC- KEYS | aktualisiert die öffentlichen Schlüssel |
DELETE-FT-KEY-SET | löscht lokale RSA-Schlüsselpaare |
MODIFY-FT-KEY | modifiziert RSA-Schlüsselattribute |
IMPORT-FT-KEY | importiert RSA-Schlüssel |
Eigenschaften von Schlüsselpaaren
Ein RSA-Schlüsselpaar besteht jeweils aus einem privaten (private key) und einem öffentlichen Schlüssel (public key). Es gibt bis zu drei Schlüsselpaarsätze bestehend aus jeweils drei Schlüsselpaaren in den Längen 768, 1024, 2048. Das Kommando CREATE- FT-KEY-SET erzeugt neue Schlüsselpaare für jede dieser Längen.
Private Schlüssel werden von openFT intern verwaltet, öffentliche Schlüssel werden auf der Konfigurations-Userid der openFT-Instanz (Standard: $SYSFJAM) unter folgendem Namen hinterlegt:
SYSPKF.R<Schlüsselreferenz>.L<Schlüssellänge>
Die Schlüsselreferenz ist ein numerischer Bezeichner für die Version des Schlüsselpaares.
Die öffentlichen Schlüsseldateien sind Textdateien, die im Zeichencode des jeweiligen Betriebssystems erzeugt werden, d.h. EBCDIC.DF04-1 für BS2000 und z/OS, ISO8859-1 für Unix-Systeme und CP1252 für Windows-Systeme.
Kommentare hinterlegen
In einer Datei SYSPKF.COMMENT auf der Konfigurations-Userid der openFT-Instanz können Sie Kommentare hinterlegen, die beim Erzeugen eines Schlüsselpaarsatzes in die ersten Zeilen der öffentlichen Schlüsseldateien geschrieben werden. Kommentare könnten beispielsweise die Kontaktdaten des zuständigen FT-Verwalters, den Rechnernamen oder ähnliche für Partner wichtige Informationen enthalten. Die Zeilen in der Datei
SYSPKF.COMMENT dürfen maximal 78 Zeichen lang sein. Mit dem Kommando UPDATE- FT-PUBLIC-KEYS können Sie auch nachträglich aktualisierte Kommentare aus dieser Datei in existierende öffentliche Schlüsseldateien einbringen.
Schlüssel aktualisieren und ersetzen
Wurde eine öffentliche Schlüsseldatei versehentlich gelöscht oder anderweitig manipuliert, können Sie mit UPDATE-FT-PUBLIC-KEYS die öffentlichen Schlüsseldateien der bestehenden Schlüsselpaarsätze neu erzeugen.
Wenn Sie einen Schlüsselpaarsatz durch einen komplett neuen ersetzen wollen, können Sie mit CREATE-FT-KEY-SET einen neuen Schlüsselpaarsatz erzeugen. Sie erkennen den aktuellsten öffentlichen Schlüssel an der höchstwertigen Schlüsselreferenz im Namen der Datei. openFT unterstützt maximal drei Schlüsselpaarsätze gleichzeitig. Mehrere Schlüssel sollten aber nur temporär existieren, bis Sie allen Partnersystemen den aktuellsten öffentlichen Schlüssel zur Verfügung gestellt haben. Danach können Sie nicht mehr benötigte Schlüsselpaarsätze mit DELETE-FT-KEY-SET löschen.
Wenn der openFT-Verwalter nicht mit dem Systemverwalter identisch ist, muss sichergestellt sein, dass er trotzdem Zugriff auf die SYSPKF-Dateien und die Bibliothek SYSKEY auf der Konfigurations-Userid der openFT-Instanz hat. Das kann entweder durch Vergabe betriebssystemspezifischer Zugriffsrechte oder durch das Einrichten entsprechender FTAC-Berechtigungsprofile geschehen.
Schlüssel importieren
Sie können mit dem Kommando IMPORT-FT-KEY folgende Schlüssel importieren:
Private Schlüssel, die mit einem externen Tool (d.h. nicht über openFT) erzeugt wurden. openFT erzeugt beim Importieren eines privaten Schlüssels den zugehörigen öffentlichen Schlüssel und legt ihn auf der Konfigurations-Userid der openFT-Instanz ab, siehe Eigenschaften von Schlüsselpaaren . Dieser Schlüssel kann wie ein mit CREATE-FT-KEY-SET erzeugter Schlüssel verwendet und an Partnersysteme verteilt werden.
Öffentliche Schlüssel von Partnerinstanzen. Diese Schlüssel müssen das openFT- Schlüsselformat (syspkf) besitzen, d.h. sie müssen von der openFT-Instanz des Partners erzeugt worden sein. openFT legt den Schlüssel in der Bibliothek SYSKEY ab, siehe Schlüssel von Partnersystemen verwalten .
Jedes importierte Schlüsselpaar erhält eine eindeutige Referenznummer. Importiert werden RSA-Schlüssel in den unterstützten Schlüssellängen (768, 1024 und 2048 bit).
openFT unterstützt Schlüsseldateien in den folgenden Formaten:
PEM-Format (native PEM)
Die PEM-codierten Dateien müssen im EBCDIC-Format vorliegen.
PKCS#8 Format ohne Passphrase oder nach v1/v2 mit einer Passphrase verschlüsselt (PEM-codiert).
Die zur Verschlüsselung verwendete Passphrase müssen Sie beim Importieren im Passwort-Parameter angeben.
PKCS#12 v1 Format in Form einer Binärdatei. Die Datei wird nach einem privaten Schlüssel durchsucht, nicht unterstützte Bestandteile (z.B. Zertifikate, CRLs) werden beim Import ignoriert. Ist das Zertifikat per Signatur oder Hash geschützt, so wird von openFT keine Gültigkeitsprüfung durchgeführt. Die Gültigkeit der Datei muss durch externe Mittel sichergestellt werden. Der erste private Schlüssel, der in der Datei gefunden wird, wird importiert, weitere werden ignoriert.
Die zur Verschlüsselung verwendete Passphrase müssen Sie beim Importieren im Passwort-Parameter angeben.
Schlüssel von Partnersystemen verwalten
Die öffentlichen Schlüssel der Partnersysteme müssen im BS2000 als PLAM-Elemente vom Typ D in der Bibliothek SYSKEY auf der Konfigurations-Userid der lokalen openFT- Instanz hinterlegt werden.
Als Elementname muss der in der Partnerliste definierte Partnername des Partnersystems gewählt werden. Sie haben folgende Möglichkeiten, den öffentlichen Schlüssel eines Partnersystems zu importieren:
Sie rufen das Kommando IMPORT-FT-KEY auf und geben dort den Namen der Schlüsseldatei an. Beim Importieren überprüft openFT, ob ein Partnerlisteneintrag mit der Instanz-Identifikation, die in der Schlüsseldatei hinterlegt ist, existiert. Wenn ja, dann speichert openFT den Schlüssel in der Bibliothek SYSKEY unter dem Namen des Partners ab.
Sie kopieren die Schlüsseldatei mit Betriebssystem-Mitteln im richtigen Format in die Bibliothek SYSKEY und speichern Sie dort unter dem Namen des Partners ab.
Wenn ein aktualisierter öffentlicher Schlüssel von der Partnerinstanz zur Verfügung gestellt wird, muss der alte Schlüssel damit überschrieben werden.
Mit dem Kommando SHOW-FT-KEY ...SELECT=*PAR(PARTNER-NAME=...) können Sie die Schlüssel von Partnersystemen anzeigen lassen und dabei auch nach Verfallsdatum filtern.
Schlüssel von Partnersystemen modifizieren
Sie können mit dem Kommando MODIFY-FT-KEY die Schlüssel von Partnersystemen modifizieren, indem Sie ein Verfallsdatum festlegen oder die Authentifizierungsstufe (1 oder 2) ändern:
Wenn Sie ein Verfallsdatum festlegen, dann kann der Schlüssel nach Ablauf dieses Datums nicht mehr verwendet werden.
Wenn Sie Authentifizierungsstufe 2 einstellen, dann führt openFT zusätzliche interne Prüfungen durch. Stufe 2 wird für alle openFT-Partner ab Version 11.0B unterstützt. Ein Authentifizierungsversuch nach Stufe 1 wird zu diesem Partner abgelehnt.
Sie können diese Einstellungen wahlweise für einen bestimmten Partner oder für alle Partner festlegen oder nachträglich ändern.
Schlüssel an Partnersysteme verteilen
Die Verteilung der öffentlichen Schlüsseldateien an Ihre Partnersysteme sollte auf gesichertem Weg geschehen, also z.B. durch
kryptografisch abgesicherte Verteilung per E-Mail
Verteilung per CD (persönliche Übergabe oder per Einschreiben)
Verteilung über einen zentralen openFT-Fileserver, dessen öffentlichen Schlüssel die Partner besitzen.
Wenn Sie Ihre öffentlichen Schlüsseldateien an Partnersysteme mit Unix- bzw. Windows- Betriebssystem übermitteln, müssen Sie darauf achten, dass diese Dateien von
EBCDIC.DF04-1 nach ISO 8859-1 bzw. CP1252 umcodiert werden (z.B. durch eine Übertragung als Textdatei per openFT).
Die öffentliche Schlüsseldatei Ihrer lokalen openFT-Instanz wird im Partnersystem an folgender Stelle abgelegt:
Bei Partnern mit openFT (BS2000) als PLAM-Element vom Typ D in der Bibliothek SYSKEY auf der Konfigurations-Userid der Partnerinstanz. Als Elementname muss der im fernen Netzbeschreibungsbuch bzw. in der fernen Partnerliste für Ihre openFT- Instanz vergebene Partnername gewählt werden.
Bei Partnern mit openFT (Unix-Systeme) im Verzeichnis /var/openFT/<Instanz>/syskey . Als Dateiname muss die Instanzidentifikation Ihrer lokalen openFT-Instanz gewählt werden. Der Dateiname darf keine Großbuchstaben enthalten. Enthält die Instanzidentifikation Großbuchstaben, müssen diese im Dateinamen in Kleinbuchstaben umgesetzt werden.
Bei Partnern mit openFT (Windows) im Verzeichnis <openFT-installationsverzeichnis>\var\<Instanz>\syskey , in neueren Windows- Versionen wie z.B. Windows 10 unter %ProgramData%\Fujitsu Technology Solutions\var\<Instanz>\syskey . Als Dateiname muss die Instanzidentifikation Ihrer lokalen openFT-Instanz gewählt werden.
Bei Partnern mit openFT (z/OS) als PO-Element in der Bibliothek <inst>.SYSKEY unter dem fernen OPENFT QUALIFIER. Als Elementname muss der im fernen Netzbeschreibungsbuch bzw. Partnerliste für Ihre openFT-Instanz vergebene Partnername gewählt werden.