Liberty:Keystores
Liberty kann nur den Keystore-Typ "Java Keystore" (JKS) erstellen. Die Unterstützung für andere Keystore-Typen in Liberty kann abhängig davon sein, was von der zugrunde liegenden JRE (Java Runtime Environment) unterstützt wird.
Weitere Informationen zu den Konfigurationsattributen des Elements keystore finden Sie unter Liberty:SSL-Konfigurationattribute.
JKS und JCEKS
Java™ Keystore (JKS) und Java Cryptography Extensions Keystore (JCEKS) werden von der IBM JRE und der Oracle JRE gemeinsam genutzt und können über jede JRE gleich konfiguriert werden. JKS ist der Standardkeystore-Typ in Liberty und der einzige Keystore-Typ, der von Liberty erstellt werden kann. Wird kein Keystore-Typ in der Konfiguration angegeben, wird JKS verwendet.
<keyStore id="sampleJKSKeyStore"
location="MyKeyStoreFile.jks"
type="JKS" password="myPassword" />
<keyStore id="sampleJCEKSKeyStore"
location="MyKeyStoreFile.jceks"
type="JCEKS" password="myPassword" />
PKCS11-Keystore
Ein Hardwareverschlüsselungskeystore kann so konfiguriert werden, dass der Liberty-Server für die Bereitstellung von Verschlüsselungstoken verwendet werden kann.
name = HWDevice
library = /opt/foo/lib/libpkcs11.so
Das Attribut name ist ein Name, der dieser Instanz der Einheit gegeben wird. Das Attribut library enthält einen Pfad zu der von der Hardwareeinheit für den Zugriff auf die Einheit bereitgestellten Bibliothek. Die Konfigurationsdatei kann außerdem speziell für die Hardwareeinheit geltende Konfigurationsdaten enthalten.
- id - Mit diesem Feld wird das Element keystore eindeutig in der Konfiguration identifiziert.
- location - Der Pfad zur hardwareeinheitenspezifischen Konfigurationsdatei.
- type - PKCS11 muss als Keystore-Typ angegeben werden.
- fileBased - Muss "false" sein, damit dieser Keystore als Einheit erkannt wird.
- password - Kennwort, das für den Zugriff auf Schlüssel in der Einheit erfroderlich ist.
- provider - Der erforderliche Provider. Für die IBM® JRE muss der Wert IBMPKCS11Impl und für die Oracle JRE muss der Wert SunPKCS11 sein.
<keyStore id="hwKeyStore"
location="${server.config.dir}/HWCrypto.cfg"
type="PKCS11"
fileBased="false"
password="{xor}Lz4sLCgwLTs="
provider="IBMPKCS11Impl"/>
PKCS12-Keystore
<keyStore id="samplePKCS12KeyStore"
location="MyKeyStoreFile.p12"
type="PKCS12" password="myPassword" />
CMS-Keystore
security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.security.jgss.IBMJGSSProvider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.security.sasl.IBMSASL
security.provider.6=com.ibm.xml.crypto.IBMXMLCryptoProvider
security.provider.7=com.ibm.xml.enc.IBMXMLEncProvider
security.provider.8=org.apache.harmony.security.provider.PolicyProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
security.provider.10=com.ibm.security.cmskeystore.CMSProvider
<keyStore id="sampleCMSKeyStore"
password="myPassword"
location="MyKeyStoreFile.kdb"
provider="IBMCMSProvider"
type="CMSKS"/>