[z/OS]

z/OS-Hardwareverschlüsselung unter Verwendung der ICSF- und RACF-Keystores

Integrated Cryptographic Service Facility (ICSF) ist die Software auf einem z/OS-System, die als Schnittstelle zu der Hardware dient, in der Schlüssel gespeichert werden können. Keystores des Typs IBMJCECCARACFKS werden für Zertifikate und Schlüssel verwendet, die in RACF (Resource Access Control Facility) verwaltet werden. Die Zertifikate werden in RACF gespeichert, die Schlüssel können jedoch in ICSF oder in RACF gespeichert werden. Der Keystore IBMJCECCARACFKS nutzt die Hardwareverschlüsselung, die Elemente wie Verschlüsselung, Entschlüsselung und Signatur umfasst, unabhängig davon, ob die Schlüssel in RACF oder in ICSF gespeichert sind.

Vorbereitende Schritte

Bevor Sie mit dieser Task beginnen, sollten Sie den Artikel Unterstützung von Hardwareverschlüsselungseinheiten für Web Services Security.

Außerdem müssen Sie die folgenden Voraussetzungen erfüllen:
  • Sie müssen eine Konfiguration sicherstellen, mit der Ihre Zertifikate in RACF gestellt werden können. Weitere Informationen dazu, wie Sie Ihre Zertifikate in RACF stellen können, finden Sie im Information Center der z/OS-Version, die auf Ihrem System ausgeführt wird.
  • Sie müssen sich mit CSFSERV-Zugriffsberechtigungen, die für die vom IBMJCECCA-Provider verwendeten ICSF-Services erforderlich sind, vertraut machen. Informationen zu diesen Zugriffsberechtigungen finden Sie im Dokument "Java Cryptography Extension in Java Platform Standard Edition, Hardware Cryptography IBMJCECCA Overview". Dieses Dokument ist auf der Webseite http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html verfügbar.
  • Vergewissern Sie sich, dass ICSF aktiviert ist.
Anmerkung: Der Keystoretyp JCECCARACFKS ist nur auf der Plattform z/OS verfügbar.

Informationen zu diesem Vorgang

Der Keystore JCECCAKS wird für Schlüssel verwendet, die direkt in ICSF verwaltet und gespeichert werden, und er setzt voraus, dass Sie den Provider IBMJCECCA in die Providerliste aufnehmen, die in der Datei java.security angegeben ist.

Der Keystore JCECCARACFKS wird für in RACF verwaltete Zertifikate und Schlüssel verwendet. Die Zertifikate werden in RACF gespeichert, während die Schlüssel in RACF oder ICSF gespeichert werden können. Wenn Sie den Keystoretyp JCECCARACFKS verwenden, müssen Sie den Provider IBMJCECCA in die mit der Datei java.security angegebene Providerliste aufnehmen. Die Hardwareverschlüsselung kann aus Leistungsgründen auch dann genutzt werden, wenn die Schlüssel nicht in der Hardware gespeichert sind.

Der Keystore JCERACFKS wird zusammen mit dem Provider IBMJCE oder IBMJCECCA verwendet. Der Keystore JCERACFKS kann für Zertifikate und Schlüssel verwendet werden, die in RACF verwaltet und gespeichert werden. Die Hardwareverschlüsselung kann aus Leistungsgründen genutzt werden, wenn der Provider IBMJCECCA verwendet wird. Die URI-Pfadreferenz für den Keystore JCERACFKS hat folgendes Format: safkeyring:///Name_Ihres_Schlüsselrings.

Anmerkung: Wenn der Schlüssel in der Hardware gespeichert werden soll, müssen Sie beim Generieren neuer Schlüssel in RACF die Option ICSF verwenden.

Vorgehensweise

  1. Starten Sie die erforderlichen ICSF-Services. Weitere Informationen finden Sie in der JAVA- und ICSF-Dokumentation.
  2. Lokalisieren Sie die Java-Sicherheitsdatei WAS_HOME/AppServer/properties. Die Java-Sicherheitsdatei ist ein symbolischer Link zu einer Java-Sicherheitsdatei im SMP/E HFS. Löschen Sie den symbolischen Link der Java-Sicherheitsdatei, und kopieren Sie die Datei java.security aus dem SMP/E HFS in das Verzeichnis WAS_HOME/AppServer/properties, um sie zu bearbeiten. Entfernen Sie in der Datei java.security die Kommentarzeichen für den folgenden IBMJCECCA-Provider in der Providerliste:
    security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
  3. Ändern Sie die Nummerierung für die übrigen Provider in der Liste entsprechend.
  4. Navigieren Sie zu Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate.
  5. Klicken Sie auf Neu, um einen neuen Keystore zu erstellen.
  6. Fügen Sie den Verzeichnispfad dem Keystore hinzu. Der URI muss "safkeyringhw" anstelle von "safkeyring" enthalten, z. B. safkeyringhw:///Name_Ihres_Schlüsselrings.
  7. Wählen Sie als Typ JCECCARACFKS aus, und füllen Sie die übrigen Felder mit den geeigneten Werten aus.

    Wenn die Tokenanmeldung erforderlich ist, geben Sie das Kennwort für den Keystore im Feld Kennwort ein.

    Aus Gründen der Kompatibilität mit dem JCE-Keystore, der ein Kennwort erfordert, lautet das JCERACFKS-Kennwort password. Die Sicherheit für diesen Keystore wird nicht wie bei anderen Keystore-Typen allein durch die Verwendung eines Kennworts gewährleistet. Sie basiert in diesem Fall eher auf der Identität des ausführenden Threads für den Schutz mit RACF. Dieses Kennwort ist für die Keystore-Datei bestimmt, die Sie im Feld "Pfad" angegeben haben.

    Operationen, die Schlüssel im Token verwenden, erfordern eine sichere Anmeldung. Dieses Feld ist optional, wenn der Keystore als Verschlüsselungsbeschleuniger verwendet wird. In diesem Fall müssen Sie die Option Verschlüsselungsoperationen für eine Hardwareeinheit auswählen.

  8. Klicken Sie auf OK und anschließend auf Speichern, um die Änderungen auf die Masterkonfiguration anzuwenden.

    Möglicherweise müssen Sie die Server erneut starten, damit diese Änderungen wirksam werden.

Ergebnisse

Für das Konfigurieren von SSL-Verbindungen steht jetzt ein Keystore zur Verfügung.

Nächste Schritte

Beim Erstellen einer SSL-Konfiguration können Sie die Komunikation zwischen dem Client und dem Server mit dieser Keystore-Datei schützen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_storecertkeysICSF
Dateiname:tsec_storecertkeysICSF.html