WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

ICSF および RACF 鍵ストアによる z/OS ハードウェア暗号方式の使用

Integrated Cryptographic Service Facility (ICSF) は z/OS システム上の ソフトウェアであり、鍵を保管できるハードウェアとのインターフェースの役目を 果たします。IBMJCECCARACFKS 鍵ストアは、 Resource Access Control Facility (RACF) で管理されている証明書と鍵を処理します。 証明書は RACF に保管されますが、鍵は ICSF にも RACF にも 保管できます。JDK 5.0 以降は、鍵が RACF に 保管されているか ICSF に保管されているかに関係なく、IBMJCECCARACFKS 鍵ストアがハードウェア暗号 (暗号化、暗号化解除、 署名など) を利用できるようになります。

始める前に

注: z/OS プラットフォームで使用できる鍵ストア・タイプは、 JCECCARACFKS だけです。

このタスクについて

IBMJCECCA プロバイダーは、JDK 5.0 以降では 非推奨になる、IBMJCE4758 プロバイダーに代わるものです。JCE4758KS 鍵ストアと JCE4758RACFKS 鍵ストアも、JDK 5.0 以降では非推奨になります。 JCE4758KS 鍵ストアに代わって JCECCAKS 鍵ストアが使用され、JCE4758RACFKS 鍵ストアに 代わって JCECCARACFKS 鍵ストアが使用されます。

JCECCAKS 鍵ストアは、 ICSF で直接管理および保管する鍵に使用され、これを使用するためには、java.security ファイルで 指定したプロバイダー・リストに IBMJCECCA プロバイダーを含める必要があります。

JCECCARACFKS 鍵ストアは、RACF で管理する証明書や鍵に 使用されます。証明書は RACF に保管されますが、鍵は RACF にも ICSF にも 保管できます。JCECCARACFKS 鍵ストア・タイプを使用するには、java.security ファイルで 指定したプロバイダー・リストに IBMJCECCA プロバイダーを含める必要があります。 JDK 5.0 では、鍵がハードウェアに保管されていない場合でも、パフォーマンス暗号を利用して パフォーマンスを向上させることができます。

JCERACFKS 鍵ストアは、 IBMJCE プロバイダーまたは IBMJCECCA プロバイダーと一緒に使用されます。 JCERACFKS 鍵ストアは、RACF で管理および保管される証明書と鍵に 使用できます。JDK 5.0 の新機能として、IBMJCECCA プロバイダーの使用時にハードウェア暗号を 利用して、パフォーマンスを向上させることができます。JCERACFKS 鍵ストアの URI パス参照は safkeyring:///myKeyRing という形式です。

注: 鍵をハードウェアに保管する場合、RACF で新しい鍵を生成するには ICSF オプションを使用する必要があります。

プロシージャー

  1. 必要な ICSF サービスを開始します。 詳しくは、 JAVA および ICSF の資料を参照してください。
  2. $JAVA_HOME/lib/security にある java.security ファイルで、次の IBMJCECCA プロバイダーをプロバイダー・リストの 最上位にアンコメントします。
    security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
  3. プロバイダー・リストの残りのプロバイダーに番号を付け直します。
  4. 「セキュリティー」>「SSL 証明書および鍵管理」> 「鍵ストアおよび証明書」と移動します。
  5. 新規」をクリックして、新規の鍵ストアを作成します。
  6. 鍵ストアにディレクトリー・パスを追加します。 URI には、safkeyring ではなく safkeyringhw が含まれていなければなりません (例えば safkeyringhw:///myKeyRing)。
  7. 「タイプ」に「JCECCARACFKS」を選択して、 残りのフィールドに適宜入力します。
  8. OK」をクリックしてから「保管」をクリックして、 これらの変更をマスター構成に適用します。

結果

これで、SSL 接続の構成に鍵ストアを使用できるようになりました。

次の作業

SSL 構成のセットアップ時にこの鍵ストア・ファイルを使用すれば、 クライアント、サーバー間の通信をこれまで同様保護することができます。



関連概念
WebSphere Application Server security for z/OS
鍵ストア構成
WebSphere Application Server for z/OS における Secure Sockets Layer セキュリティー
関連タスク
Secure Sockets Layer 構成の作成
通信の保護
タスク・トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/tsec_storecertkeysicsf.html