對於設計成使用加密硬體和處理器的應用程式,當這些硬體和處理器可用時,該應用程式會使用它們,當無法可用時,該應用程式會使用 IBM® JCE Hybrid Provider IBMJCEHYBRID,在沒有這些加密特性的情況下繼續作業。
當使用 IBMJCEHYBRID 提供者時,應用程式仍可以使用 JCE 提供者,且無需包含在加密特性不可用之時的複雜錯誤處理。
開始之前
請確定 z/OS® 所執行的 IBMJDK 是 Java™ 7 SR3 或更新的版本。
關於這項作業
IBMJCEHYBRID 提供者不會執行任何加密作業,但會將要求遞送給登錄於「Java 安全性架構」的 JCE 提供者。
IBMJCEHYBRID 提供者必須是從 java.security 提供者清單起始設定的作用中 JVM 提供者清單中的第一個 JVM 提供者。
IBMJCEHYBRID 提供者會根據在 JVM 起始設定時完成的安全提供者登錄,將要求遞送給 JCE 提供者,以及提供 JCE 提供者的失效接手。
這個功能使應用程式在加密特性可用之時,能夠使用加密特性,在加密特性不可用之時,也能夠使用不相依於這些特性的提供者。
程序
- 連同硬體加密提供者,將提供者新增至 java.security 檔中。
security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
security.provider.2=com.ibm.crypto.ibmjcehybrid.provider.IBMJCEHYBRID
security.provider.3=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
- 配置 server.xml 檔中的金鑰環,將位置設定成使用 safkeyringhybrid,將類型設為 JCEHYBRIDRACFKS。 下列範例顯示最小 SSL 配置金鑰儲存庫的定義。
<keyStore id="defaultKeyStore" location="safkeyringhybrid:///mykeyring" type="JCEHYBRIDRACFKS"
password="{<u>xor</u>}Lz4sLCgwTs=" fileBased="false" readOnly="true"/>