WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化
このトピックは、z/OS オペレーティング・システムにのみ適用されます。

RACF キー・リングのセットアップ

Java を使用した RACF 鍵ストア用の RACFInputStream の作成

SSL 認証プロセスの間、WebSphere Application Server は、PERSONAL 証明書として接続する証明書を KeyEntry と見なします。 秘密鍵が使用可能なため、この証明書を Secure Sockets Layer (SSL) ハンドシェークでのエンド・ユーザー証明書として使用できます。

WebSphere Application Server は、CERTAUTH 証明書として接続する証明書を TrustedCertEntry と見なし、この証明書を認証局 (CA) として処理します。 キー・リングでは、PERSONAL として接続する証明書と、CERTAUTH として接続する CA 証明書が必要です。 SITE として接続する証明書は、このリリースではサポートされていません。

Java Secure Socket Extension (JSSE) クライアントおよびサーバーが、信用および鍵情報の両方に使用できる RACF キー・リングを以下のサンプル・コードで示します。
Certificate Label Name Cert Owner USAGE    DEFAULT
---------------------- ---------- -------- -------
PersonalEndUserCert    ID(USERID) PERSONAL YES
PersonalEndUserCACert  CERTAUTH   CERTAUTH NO
証明書パス・プロバイダーをご使用の Java 環境に追加して、WebSphere Application Server が Resource Access Control Facility (RACF) から読み取る証明書から証明書チェーンを構成する必要があります。 以下の行をご使用の java.security ファイル・プロバイダー・リストに追加します。
security.provider.X=com.ibm.security.cert.IBMCertPath

いずれかの RACF 証明書のロードに失敗した場合、鍵ストアはロードされません。 キー・リングから不要な証明書をすべて除去する必要があります。

RACFInputStream には、以下の 3 つのパラメーターが含まれています。 以下のコード例では、RACFInputStream スクリプトによるユーザー ID、リング ID、およびヌル・パスワードの直接の引き渡しを示します。
import com.ibm.crypto.provider.RACFInputStream;
import com.ibm.crypto.provider.RACFKeyStore;
String ksfname;
String storePass = null;
RACFInputStream ksStream = new RACFInputStream(
		 System.getProperty("user.name"),ksfname,storePass);
RACFKeyStore keyStore.load(ksStream, storePass); ksStream.close();
上記の例では、WebSphere Application Server が RACF に受け渡すユーザー ID を提供するために、システム・プロパティー user.name が参照されています。 この例は一般的ではありません。

URLStreamHandler を使用した RACFInputStream へのアクセス

このリリースでは、URLStreamHandler オブジェクトを使用したユーザー定義クラスを介してデータにアクセスできます。 WebSphere Application Server では、システム・プロパティー java.protocol.handler.pkgs を使用してデータにアクセスするクラスを定義できます。 Service Authorization Facility (SAF) RACF キー・リングにあるデータにアクセスするには、関連したクラスとともに safkeyring URL を使用します。
URLStreamHandler クラスを使用して RACFInputStream を作成するには、以下の Java プロパティーを定義します。
-Djava.protocol.handler.pkgs
IBM Java Cryptography Extension (IBMJCE) プロバイダーを使用して暗号化サポートを提供している場合は、プロパティーを以下の値に設定します。
-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
IBMJCE4758 プロバイダーを使用して暗号化サポートを提供している場合は、プロパティーを以下の値に設定します。
-Djava.protocol.handler.pkgs=com.ibm.crypto.hdwrCCA.provider
URL を使用して、java.policy ファイルのストリーム・ハンドラーを指定できます。 jarsigner ユーティリティーは、-keystore パラメーターの URL も受け入れます。 RACF キー・リングからの証明書が署名済み jar ファイルを検証する場合、以下のコード・サンプルに示すように、WebSphere Application Server がキー・リングを java.policy ファイルの鍵ストアへの入力ストリームとして使用する必要があることを指定できます。
keystore "safkeyring://myracfid/my_key_ring", " JCERACFKS";
In this example,
  • safkeyring は、サーバーが URLStreamHandler コードにアクセスしてキー・リングからデータを読み取るのに使用する URL キーワードです。
  • myracfid は、キー・リングからデータを読み取る権限を持つ RACF ユーザー ID です。
  • my_key_ring は、データが読み取られるキー・リングの名前です。
  • JCERACFKS は、SAF (RACF) キー・リング鍵ストア用に定義された鍵ストアのタイプです。
Java 仮想マシン (JVM) の開始時には、java.protocol.handler.pkgs プロパティーを前述の値のいずれかに設定して、WebSphere Application Server が適切な URLStreamHandler を呼び出せるようにする必要があります。 以下の例は、safkeyring URL を使用する jarsigner ユーティリティーを示します。
jarsigner -keystore safkeyring://myracfid/my_key_ring -signedjar
ibmjceproviders.jar ibmjceprovider.jar ibmprovider -storetype JCERACFKS 
RACF 外部セキュリティー・マネージャーでの情報の挿入および更新について詳しくは、以下の資料の RACDCERT コマンドを参照してください。
  • z/OS SecureWay Security Server RACF セキュリティー管理者のガイド - SA88-8613
  • z/OS SecureWay Security Server RACF コマンド言語 解説書 - SA88-8617



関連タスク
特定のアプリケーション・サーバーの保護
参照トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/rsec_racfkeyringsetup.html