IBM® JCE Hybrid Provider IBMJCEHYBRID 供特定应用程序使用,此应用程序设计为使用加密硬件和处理器(如果它们可用),但在没有加密功能部件(如果它们不可用)时仍然工作。使用
IBMJCEHYBRID 提供程序允许应用程序使用 JCE 提供程序而不必包括复杂错误处理以供加密功能部件不可用时使用。
开始之前
请确保正在 z/OS® 上运行的 IBMJDK 为 Java™ 7 SR3 或更高版本。
关于此任务
IBMJCEHYBRID 提供者不执行任何加密操作,但会将请求路由至已向 Java 安全框架注册的 JCE 提供者。IBMJCEHYBRID
提供程序必须是生效 JVM 提供程序列表中的第一个 JCE 提供程序,此列表是通过 java.security 提供程序列表初始化的。IBMJCEHYBRID
提供程序根据在 JVM 初始化时完成的安全提供程序注册将请求路由至 JCE 提供程序并为其提供故障转移。此功能允许应用程序使用加密功能部件(如果这些功能部件可用)和不依赖于这些功能部件的提供程序(如果这些功能部件不可用)。
过程
- 将该提供程序添加至带有硬件加密提供程序的 java.security 文件。
security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
security.provider.2=com.ibm.crypto.ibmjcehybrid.provider.IBMJCEHYBRID
security.provider.3=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
security.provider.4=com.ibm.crypto.provider.IBMJCE
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.security.sasl.IBMSASL
- 在 server.xml 文件中配置密钥环以设置要使用 safkeyringhybrid 的位置,并将类型设置为 JCEHYBRIDRACFKS。 以下示例显示符合最低要求的 SSL 配置密钥库的定义。
<keyStore id="defaultKeyStore" location="safkeyringhybrid:///mykeyring" type="JCEHYBRIDRACFKS"
password="{<u>xor</u>}Lz4sLCgwTs=" fileBased="false" readOnly="true"/>