Integrated Cryptographic Service Facility (ICSF) は z/OS システム上の
ソフトウェアであり、鍵を保管できるハードウェアとのインターフェースの役目を
果たします。IBMJCE4758RACFKS 鍵ストアは、
Resource Access Control Facility (RACF) で管理されている証明書と鍵を処理します。
証明書は RACF に保管されますが、鍵は ICSF に
保管できます。そうすることにより、ハードウェア暗号 (暗号化、暗号化解除、署名など) を
利用できるようになります。
始める前に
注: z/OS プラットフォームで使用できる鍵ストア・タイプは、
JCE4758RACFKS だけです。
このタスクについて
注:
鍵をハードウェアに保管する場合、RACF で新しい鍵を生成するには
ICSF オプションを使用する必要があります。
プロシージャー
- 必要な ICSF サービスを開始します。 詳しくは、
JAVA および ICSF の資料を参照してください。
- $JAVA_HOME/lib/security にある
java.security ファイルで、次の IBMJCE4758 プロバイダーをプロバイダー・リストの
最上位に追加します。
security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCE4758
- プロバイダー・リストの残りのプロバイダーに番号を付け直します。
- 「セキュリティー」>「グローバル・セキュリティー」
>「SSL」と移動します。
- 1 つ以上の ICSF 証明書を持つ鍵リングを参照する
必要がある JSSE レパートリーを選択します。
- 「鍵ファイル形式」と「トラスト・ファイル形式」を
「JCE4758RACFKS」に変更します。 URI には、
safkeyring ではなく safkeyringhw が含まれていなければなりません (例えば safkeyringhw:///WASKeyring)。
- 「OK」をクリックしてから「保管」をクリックして、
これらの変更をマスター構成に適用します。
結果
これで、SSL 接続の構成に鍵ストアを使用できるようになりました。
次の作業
SSL 構成のセットアップ時にこの鍵ストア・ファイルを使用すれば、
クライアント、サーバー間の通信をこれまで同様保護することができます。