Communities
A collaborative platform to connect and grow with like-minded Informaticans across the globe
Product Communities
Connect and collaborate with Informatica experts and champions
Discussions
Have a question? Start a Discussion and get immediate answers you are looking for
User Groups
Customer-organized groups that meet online and in-person. Join today to network, share ideas, and get tips on how to get the most out of Informatica
Get Started
Community Guidelines
Knowledge Center
Troubleshooting documents, product guides, how to videos, best practices, and more
Knowledge Base
One-stop self-service portal for solutions, FAQs, Whitepapers, How Tos, Videos, and more
Support TV
Video channel for step-by-step instructions to use our products, best practices, troubleshooting tips, and much more
Documentation
Information library of the latest product documents
Velocity (Best Practices)
Best practices and use cases from the Implementation team
Learn
Rich resources to help you leverage full capabilities of our products
Trainings
Role-based training programs for the best ROI
Certifications
Get certified on Informatica products. Free, Foundation, or Professional
Product Learning Paths
Free and unlimited modules based on your expertise level and journey
Resources
Library of content to help you leverage the best of Informatica products
Tech Tuesdays Webinars
Most popular webinars on product architecture, best practices, and more
Product Availability Matrix
Product Availability Matrix statements of Informatica products
SupportFlash
Monthly support newsletter
Support Documents
Informatica Support Guide and Statements, Quick Start Guides, and Cloud Product Description Schedule
Product Lifecycle
End of Life statements of Informatica products
Ideas
Events
Change Request Tracking
Marketplace
Portuguese
  • PowerExchange for CDC and Mainframe 10.5.3
  • Todos os produtos

Sumário

Search

  1. Prefácio
  2. Introdução ao PowerExchange
  3. Arquivo de Configuração DBMOVER
  4. Trabalhos Netport
  5. Logs de Mensagens do PowerExchange e Substituições de Destinos
  6. Log de estatísticas do SMF e Relatórios
  7. Segurança do PowerExchange
  8. Suporte a Secure Sockets Layer
  9. Segurança de Rede Alternativa do PowerExchange
  10. SQL Não Relacional do PowerExchange
  11. Metadados DTLDESCRIBE
  12. Globalização do PowerExchange
  13. Usando os Drivers ODBC do PowerExchange
  14. Tipos de Dados e Matriz de Conversão do PowerExchange
  15. Apêndice A: Carimbos de Data/Hora DTL__CAPXTIMESTAMP
  16. Apêndice B: Glossário do PowerExchange

Manual de Referência

Manual de Referência

Anterior Avançar

Criando um Certificado Usando o Comando RACDCERT do z/OS

Criando um Certificado Usando o Comando RACDCERT do z/OS

  1. Escolha um ID de usuário do z/OS sob o qual processar certificados.
    Não há correlação entre os IDs de usuário do z/OS e os clientes Linux, Unix e Windows.
    O certificado produzido estará no formato PKCS12DER. Esse formato exporta o certificado e a chave privada, que devem ser armazenados
  2. Liste as informações de certificado existentes.
    Liste os rótulos de certificado existentes nos conjuntos de chaves de usuário usando o comando RACDCERT LISTRING do TSO.
    Você também pode usar o utilitário PWXUGSK para listar os certificados existentes. Para obter mais informações, consulte o
    Guia de Utilitários do PowerExchange
    .
    Use instruções JCL como as seguintes: 
    
//**
//RINGL  EXEC PGM=IKJEFT01
//SYSTSPRT  DD SYSOUT=*
//SYSPRINT  DD SYSOUT=*
//SYSUDUMP  DD SYSOUT=*
//SYSTSIN   DD *
    RACDCERT LISTRING(*) ID(
    certificate_owner
    )
    END
/*
    Liste os detalhes dos certificados existentes para o usuário usando o comando RACDCERT LIST do TSO.
    Use instruções JCL como as seguintes: 
    
//**
//CERTUSR   EXEC PGM=IKJEFT01
//SYSTSPRT  DD SYSOUT=*
//SYSPRINT  DD SYSOUT=*
//SYSUDUMP  DD SYSOUT=*
//SYSTSIN   DD *
    RACDCERT LIST ID(
    certificate_owner
    )
    END
/*
    Se o certificado que você deseja já existir, você pode pular a etapa 3.
    Os certificados existentes dão uma ideia sobre o que colocar em novos certificados.
  3. Execute o comando RACDCERT GENCERT do TSO para criar o certificado.
    Use instruções JCL como as seguintes: 
    
//**
//CERTAUTH  EXEC PGM=IKJEFT01
//SYSTSPRT  DD SYSOUT=*
//SYSPRINT  DD SYSOUT=*
//SYSUDUMP  DD SYSOUT=*
//SYSTSIN   DD *
  RACDCERT ID(
    certificate_owner
    ) GENCERT -                     
    SUBJECTSDN ( -                               
      O('YourOrganization') -                         
      CN('certificate_owner.servername.yourdomain.com') -       
      OU('zOS.Admin') -                          
      C('GB') -                                  
            )          -                       
    WITHLABEL('CERTUSRPCCert')-                       
    SIGNWITH(CERTAUTH LABEL('LOCALCA'))          
  
/*
    A tabela a seguir mostra o mapeamento dos atributos gerais do certificado para os parâmetros RACDCERT GENCERT:
    Atributo
    Parâmetro e Avisos RACDCERT GENCERT
    Tamanho da chave em bits 
    SIZE
    O padrão é 1024.
    Pode-se impedir que um valor seja definido acima de 1024 pelo RACF ou pelos regulamentos de exportação dos Estados Unidos.
    Nome diferenciado 
    SUBJECTSDN ( -                               
    O('myorganization') -                         
    CN('userid.machine.myorganization.com') -       
    OU('myorganizationunit')                          
    C('GB') -
    Compilação de mensagem
    padrão é sha1.
    Data de validade
    NOTAFTER(
    yyyy
    -
    mm
    -
    dd
     )
    O padrão é 12 meses a partir da data atual.
    Autoridade de Certificação
    Se o certificado for assinado por uma autoridade de certificação reconhecida, o rótulo refletirá o nome da autoridade de certificação. 
    SIGNWITH(CERTAUTH LABEL(('LOCALCA'))
    A tabela a seguir mostra os parâmetros RACDCERT GENCERT específicos do z/OS:
    Parâmetro RACDCERT GENCERT
    Uso
    WITHLABEL
    Usado durante a exportação do certificado para o formato DER.
    Estará disponível no certificado PEM em "Atributos do pacote - friendlyName: "
    SIGNWITH
    Especifica o certificado com uma chave privada que está assinando o certificado.
    O padrão é assinar com a chave privada do certificado sendo gerado, criando assim um certificado auto-certificado. Esse padrão é apropriado para certificados de autoridade de certificação, mas não é útil para certificados pessoais.
    Utilizando o comando RCADCERT GETCERT do TSO do z/OS, o tipo de chave pode ser afetado pelos parâmetros PCICC, ICSF ou DSA.
    Use o comando RACDCERT LIST do TSO para verificar os detalhes do novo certificado pessoal.
    O comando RACDCERT GENCERT faz com que a mensagem de aviso seja emitida: 
     IRRD175I The new profile for DIGTCERT will not be in effect until a SETROPTS REFRESH has been issued.
  4. Para atualizar as definições do RACF, emita um comando SETROPTS do TSO como o seguinte: 
     SETROPTS RACLIST(DIGTCERT,DIGTNMAP) REFRESH "
    Você precisa de permissão específica do RACF para usar esse comando.
    Você pode omitir esse comando se o AT-TLS não for usar o novo certificado, ou seja, se você estiver gerando o certificado apenas para uso por um cliente do PowerExchange no Linux, Unix ou Windows.
  5. Emita um comando RACDCERT CONNECT do TSO para conectar o certificado a um conjunto de chaves.
    Você pode omitir esse comando se o AT-TLS não for usar o novo certificado, ou seja, se você estiver gerando o certificado apenas para uso por um cliente do PowerExchange no Linux, Unix ou Windows.
  6. Para exportar o arquivo de certificado para um arquivo simples no formato PKCSK23DER, emita o comando RACDCERT EXPORT do TSO.
    Use instruções JCL como as seguintes: 
    
//**
//CERTAUTH  EXEC PGM=IKJEFT01
//SYSTSPRT  DD SYSOUT=*
//SYSPRINT  DD SYSOUT=*
//SYSUDUMP  DD SYSOUT=*
//SYSTSIN   DD *
    RACDCERT EXPORT(LABEL('CERTUSRPCCert1'))  -
             DSN('certificate_owner.PCCERT1.DER.P12') -
             PASSWORD('USRPWD')                -
             FORMAT(PKCS12DER)
    END
/*
    A tabela a seguir descreve os parâmetros de comando:
    Parâmetro
    Descrição
    LABEL
    Identifica o certificado. Deve corresponder ao parâmetro WITHLABEL no comando RACDCERT GENCERT.
    DSN
    Identifica o nome do conjunto de dados de saída no formato PKCS12 DER. O conjunto de dados será alocado dinamicamente aos valores de DCB RECFM=VB, LRECL=84. O conjunto de dados não precisa ser excluído ou pré-alocado.
    PASSWORD
    Senha temporária que precisa ser lembrada e inserida no comando openssl pkcs12 -clercts que você emite na etapa 8.
    FORMAT
    PKCS12DER
  7. Execute um FTP binário do PKCSK23DER para a máquina Windows ou Unix.
  8. Use um dos seguintes métodos para converter o certificado PKCSK23DER para o formato PEM usado na máquina Windows ou Unix:
    • Use o utilitário PWXUSSL para converter o certificado para o formato PEM: 
      pwxussl cmd=CONVERT_CERT_PKCS12_PEM verbose=Y INFILE=E:\_MYDETAIL\SSLCerts\Exported\certificate_owner.PCCERT1.DER.P12 pwd=
      pwd
       OUT_FILE=E:\_MYDETAIL\SSLCerts\Exported\RACFEXPkey.pem
      O utilitário emite mensagens de progresso e de sucesso: 
      PWX-37129 MONITOR statistics switched off for process PWXUSSL

Processing console program. pwxussl cmd=CONVERT_CERT_PKCS12_PEM verbose=Y INFILE=E:\_MYDETAIL\SSLCerts\Exported\certificate_owner.PCCERT1.DER.P12 PWD=
      pwd
       OUT_FILE=E:\_MYDETAIL\SSLCerts\Exported\RACFEXPkey.pem

Importing PKCS12 file into memory X509 objects
----------------------------------------------
Opening file 'E:\_MYDETAIL\SSLCerts\Exported\SSL.RACFEXP.STQA.CERT1.DER.PKCS12'
Calling d2i_PKCS12_fp()
Closing input file
Calling PKCS12_parse()
PKCS12 contains 1 CA certificates

Exporting X509 objects to PEM file
----------------------------------
Opening output file 'E:\_MYDETAIL\SSLCerts\Exported\RACFEXPkey.pem'
Writing subject identification certificate
Writing Encrypted Private Key
Encoding private key using input password
Writing CA certificate 1
Closing output file

CONVERT_CERT_PKCS12_PEM ended OK
    • Use o OpenSSL para converter o certificado para o formato PEM: 
      c:\openSSL\bin\openssl.exe pkcs12  -clcerts -in K:\sslCertificates\abc890_2\PCCert1\certificate_owner.PCCERT1.DER.P12 -out K:\sslCertificates\abc890_2\PCCert1\RACFEXPkey.pem

Enter Import Password:
      No prompt Inserir Senha de Importação, insira a senha que você especificou no comando TSO RACDCERT EXPORT na etapa 6. 
      xxxxxx
MAC verified OK
Enter PEM pass phrase:
      Nesse prompt, especifique a senha permanente para o certificado e o arquivo de chave privada. Essa senha deve ser especificada no parâmetro PASS= na instrução SSL no arquivo de configuração DBMOVER. 
      Verifying - Enter PEM pass phrase:
      Digite novamente a senha permanente.
      Isso cria o arquivo chamado no parâmetro -out.
  9. Digite os seguintes parâmetros na instrução SSL no arquivo de configuração DBMOVER:
    Parâmetro SSL
    Valor
    KEY
    Arquivo de saída da etapa 8
    PASS
    Senha permanente da etapa 8
  10. Teste a conectividade básica: 
    DTLREXE PROG=PING LOC=NODE1SSL
=>
PWX-00750 DTLREXE Input LOC=NODE1SSL, PROG=PING, PARMS=<null>, UID=<>.
PWX-00755 DTLREXE Command OK!
    Observe que, com um único certificado pessoal no arquivo, não é possível ativar a verificação. Se a verificação for tentada, resultará em mensagens de erro.
    Mensagens de erro de exemplo na máquina do Ouvinte do PowerExchange: 
    PWX-00591 Tasks now active = 1.
PWX-00656 Port 16495 is running in SSL mode
PWX-00652 [127.0.0.1]:1501 : TCP/IP SSL Error, rc=-1, reason <SSL_Socket_Open fa
iled: 1239336>
PWX-31023 Open secure socket failed
PWX-31045 Certificate 1 does not verify. rc=21 "X509_V_ERR_UNABLE_TO_VERIFY_LEAF
_SIGNATURE".
PWX-31045 Certificate 1 does not verify. rc=27 "X509_V_ERR_CERT_UNTRUSTED".
PWX-31045 Certificate 1 does not verify. rc=20 "X509_V_ERR_UNABLE_TO_GET_ISSUER_
CERT_LOCALLY".
PWX-31044 Certificate 1.  Machine 'Local Client'. Type 'CA3: Self-signed X509 V1'. Start '2014-12-11 18:37:49 GMT'. End '2042-04-27 18:37:49 GMT'. Subject '/emailAddress=myuid1@machine1'. Issuer '/emailAddress=myuid1@machine1'.
PWX-00591 Tasks now active = 0.
    Exemplo de mensagem de erro na máquina do cliente: 
    DTLREXE PROG=PING LOC=pccertSSL
=>
PWX-00750 DTLREXE Input LOC=pccertSSL, PROG=PING, PARMS=<null>, UID=<>.
PWX-00752 DTLREXE Startup Error <Failed Client Connect RCs=1217/0/0>.
PWX-00652 [127.0.0.1]:1516 : TCP/IP SSL Error, rc=31045, reason <SSL_Socket_Open fa
iled: 31045>
PWX-31045 Certificate 1 does not verify. rc=21 "X509_V_ERR_UNABLE_TO_VERIFY_LEAF
_SIGNATURE".
PWX-31045 Certificate 1 does not verify. rc=27 "X509_V_ERR_CERT_UNTRUSTED".
PWX-31045 Certificate 1 does not verify. rc=20 "X509_V_ERR_UNABLE_TO_GET_ISSUER_
CERT_LOCALLY".
PWX-31044 Certificate 1. Machine z390a Type CA3: Self-signed X509 V1 Start date 100811000000Z. End date 110811235959Z. Subje
ct /C=GB/O=INFORMATICA/OU=DEVELOPMENT/CN=certificate_owner.GBW170701.INFORMATICA.COM. Issuer
/C=GB/O=Informatica/OU=zOS.Admin/CN=irrcerta.z390a.informatica.com.
  11. Opcionalmente, configure para verificação.
    Para usar a verificação, execute as seguintes etapas:
    1. Exporte o certificado CA do z/OS para o formato PKCSK23DER. Você precisa de permissão extra do RACF para isso.
    2. Execute um FTP binário do certificado exportado.
    3. Converta o certificado em um arquivo PEM.
    4. Crie um arquivo mesclado a partir das saídas da etapa 9 e do novo arquivo PEM da CA.
    5. Insira o novo nome do arquivo no parâmetro KEY da instrução SSL no arquivo de configuração DBMOVER: 
      SSL=(KEY=
    6. Insira o novo nome de arquivo PEM da CA no parâmetro CALIST da instrução SSL no arquivo de configuração DBMOVER: 
      SSL=(CALIST=