Mit Schlüsselsätzen können Sie mehrere Instanzen von Chiffrierschlüsseln verwalten.
WebSphere Application Server verwendet Schlüssel, um abgehende Daten mithilfe von
Verschlüsselungsoperationen zu verschlüsseln oder zu signieren und eingehende Daten zu entschlüsseln oder zu prüfen.
Vorbereitende Schritte
Sie müssen Schreibzugriff auf den Keystore haben, in dem die Schlüssel gespeichert werden sollen, nachdem Sie sie
aus einem Schlüsselsatz generiert haben.
Wenn Sie jedoch Schlüssel außerhalb von WebSphere Application Server erstellen möchten,
können Sie über einen schreibgeschützten Keystore auf die Schlüssel zugreifen,
der einen geheimen Schlüssel enthält, auf den Sie zugreifen können, wenn Sie die Schlüssel generieren.
Wenn Sie ein Schlüsselpaar mit einem X509Certificate-
und einem PrivateKey-Objekt erstellen, lesen Sie den Artikel
Beispiel: Schlüssel- oder Schlüsselpaargenerierungsklasse für automatisierte Schlüsselgenerierung entwickeln.
Informationen zu diesem Vorgang
Führen Sie in der Administrationskonsole die folgenden Schritte aus:
Vorgehensweise
- Legen Sie fest, ob Sie den Schlüsselsatz auf Zellenebene oder auf einer untergeordneten Ebene, z. B.
Knoten-, Server- oder Clusterebene, erstellen möchten:
- Wenn ein Schlüsselsatz auf Zellenebene erstellt werden soll, klicken Sie auf
Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Schlüsselsätze.
- Wenn Sie einen Schlüsselsatz auf einer Ebene unterhalb der Zellenebene erstellen möchten, klicken Sie auf
Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen für Endpunkte verwalten
> {Eingehend | Abgehend} > SSL-Konfiguration > Schlüsselsätze.
- Klicken Sie auf Neu, um einen neuen Schlüsselsatz zu erstellen.
- Geben Sie einen Schlüsselsatznamen ein, z. B. CellmyKey.
- Geben Sie ein Präfix für den Schlüsselalias ein, z. B. myKey. Dieses Feld gibt das Präfix für den Schlüsselalias an, das verwendet wird, wenn der neue Schlüssel generiert und im Keystore gespeichert wird.
Dem Präfix folgt die Versionsnummer der Schlüsselreferenz, z. B.
2, so dass der vollständige Schlüsselalias beispielsweise myKey_2 lauten würde.
Wenn die Schlüsselreferenz bereits einen definierten Alias für einen Schlüssel im Keystore enthält,
ignoriert WebSphere Application Server dieses Feld.
- Geben Sie ein Schlüsselkennwort ein. Das Schlüsselkennwort schützt den Schlüssel im Keystore.
Dieses Kennwort wird von WebSphere Application Server
ignoriert, wenn Sie bereits ein Kennwort für die Schlüsselaliasreferenz angegeben haben. Klicken Sie unter "Weitere Eigenschaften" auf
Historie aktiver Schlüssel, um zu prüfen, ob ein Kennwort für die Schlüsselreferenz vorhanden ist.
Das Kennwort für die Schlüsselreferenz schützt Schlüssel, die von einer
Schlüsselgeneratorklasse generiert werden.
- Geben Sie das Kennwort zur Bestätigung erneut ein.
- Optional: Geben Sie den Klassennamen für den Schlüsselgenerator ein, z. B. com.ibm.ws.security.ltpa.LTPAKeyGenerator. Die Klasse generiert Schlüssel. Wenn die Klasse com.ibm.websphere.crypto.KeyGenerator implementiert,
gibt eine Methode getKey ein Objekt java.security.Key zurück, das im Keystore mit der Methode
setKey ohne Zertifizierungskette gespeichert wird. Wenn die Klasse
com.ibm.websphere.crypto.KeyPairGenerator implementiert, gibt eine Methode getKeyPair
ein Objekt com.ibm.websphere.crypto.KeyPair zurück, das ein Objekt java.security.PublicKey
und ein Objekt java.security.PrivateKey oder ein Objekt java.security.cert.Certificate und ein Objekt java.security.PrivateKey
enthält. Die Schlüsselgeneratorklasse und die API KeySetHelper geben die Details zu den Schlüsseln an, die generiert werden.
- Optional: Wählen Sie Schlüsselreferenzen löschen, die die maximale Schlüsselanzahl überschreiten aus, wenn
die im Keystore gespeicherten alten Schlüssel nicht gelöscht werden sollen, nachdem
WebSphere Application Server ihre Referenzen aus der Liste unter "Historie aktiver Schlüssel" entfernt hat. Unter "Historie aktiver Schlüssel" werden die Schlüssel aufgelistet, die von der API
KeySetHelper derzeit überwacht werden. Die Anzahl der Schlüssel in der Liste entspricht der Anzahl der Schlüssel, die Sie im Feld
Maximale Anzahl referenzierter Schlüssel angeben.
- Geben Sie einen numerischen Wert für die maximale Anzahl generierter Schlüssel ein. Wenn Sie beispielsweise 3 eingeben und Schlüsselreferenzen löschen, die die maximale Schlüsselanzahl überschreiten
auswählen,
wird WebSphere Application Server bei der Generierung der vierten Schlüsselversion automatisch veranlasst, die erste Schlüsselversion
aus dem Keystore zu löschen.
Wenn Sie sich gegen das Löschen der alten Schlüssel entscheiden, werden diese nicht in der Liste der aktiven Schlüssel angezeigt, verbleiben aber im Keystore, aus dem Sie sie manuell löschen können.
- Wählen Sie in der Dropdown-Liste einen Keystore aus.
- Wählen Sie einen JCEKS-Keystore aus, wenn Sie einen geheimen Schlüssel speichern.
- Wählen Sie einen beliebigen Keystore aus, wenn Sie ein Schlüsselpaar mit einem X509Certificate-
und einem PrivateKey-Objekt speichern.
- Optional: Wählen Sie Schlüsselpaar generieren aus, wenn Ihre Schlüsselgeneratorklasse
das Interface com.ibm.websphere.crypto.KeyPairGenerator
an Stelle des Interface com.ibm.websphere.crypto.KeyGenerator implementiert. Diese Option gibt an, dass der Schlüssel auf ein Schlüsselpaar und nicht auf einen einzelnen Schlüssel verweist.
Ein Schlüsselpaar kann einen öffentlichen und einen privaten Schlüssel enthalten. Die Laufzeitumgebung von
WebSphere Application Server legt fest, ob Schlüsselpaare anders als Einzelschlüssel gespeichert und geladen werden.
- Optional: Klicken Sie auf Anwenden, wenn Sie unter "Weitere Eigenschaften" die Option
Historie aktiver Schlüssel auswählen möchten, um Aliasreferenzen hinzuzufügen oder
weitere Schlüssel zu generieren.
- Klicken Sie auf Historie aktiver Schlüssel.
- Klicken Sie auf Referenz auf Schlüsselalias hinzufügen, wenn Sie
mit der Schlüsselgeneratorklasse keine Schlüsselaliasreferenzen zu den Schlüsseln
hinzufügen möchten, die bereits im Keystore vorhanden sind.
Verwenden Sie diese Option, um die Schlüssel aus einem schreibgeschützten
Keystore ohne den Schlüsselsatz, aus dem sie generiert werden, abzurufen.
- Geben Sie eine Aliasreferenz ein.
- Klicken Sie auf Schlüssel generieren, wenn Sie einen Schlüssel unter Verwendung der Klasse
generieren möchten, die Sie in der Anzeige für Schlüsselsätze definiert haben. Die Schlüsselnummern erhöhen sich mit jedem neuen Schlüssel um eins, z. B. myAlias_2.
- Klicken Sie auf Anwenden.
- Klicken Sie im Navigationspfad auf den Namen des Schlüsselsatzes.
- Klicken Sie auf OK und Speichern.
Ergebnisse
Sie haben einen Schlüsselsatz erstellt, den Sie über den Link
Historie aktiver Schlüssel verwalten können. Sie können Schlüssel manuell generieren und sie bestimmten Schlüsselsätzen zuordnen.
Nächste Schritte
Nachdem Sie aus einem Schlüsselsatz neue Schlüssel generiert haben, können Sie
mit der API com.ibm.websphere.crypto.KeySetHelper über das Programm auf sie zugreifen. Sie müssen Java™-2-Sicherheitsberechtigungen haben,
sofern diese aktiviert sind, um auf Schlüssel in Schlüsselsätzen zuzugreifen. Geben Sie den Schlüsselsatznamen, wie im folgenden Codebeispiel gezeigt, in den detaillierten Berechtigungen
an:
WebSphereRuntimePermission "getKeySets.Schlüsselsatzname".
Weitere Informationen hierzu finden Sie im Artikel
Beispiel: Generierte Schlüssel aus einer Schlüsselsatzgruppe abrufen. Wenn Sie mehrere Schlüsseltypen gleichzeitig oder einen Zeitplan für die Schlüsselgenerierung erstellen möchten,
lesen Sie den Artikel
Konfiguration für eine Schlüsselsatzgruppe erstellen.