[z/OS]

Unterstützung von SAF-Schlüsselringen für Prüfsignaturen und -verschlüsselungen

Wenn Sie die Prüffunktion aktivieren, wird die Protokollierung sowohl in der Servantregion als auch in der Steuerregion durchgeführt. Verwendet die Prüffunktion ein Zertifikat für in SAF-Schlüsselringen gespeicherte Signaturen und Verschlüsselungen, müssen das Zertifikat und der SAF-Schlüsselring für die RACF-IDs der Servantregion und der Steuerregion zugänglich sein.

Zugriffsmöglichkeit auf das Zertifikat bestimmen

Sie müssen bestimmen, ob ein Zertifikat für die RACF-IDs der Servantregion und der Steuerregion zugänglich ist, indem Sie die entsprechenden Schlüsselringinformationen in RACF überprüfen. Es gibt mehrere Möglichkeiten, festzustellen, ob ein Zertifikat zugänglich ist. Führen Sie einen der folgenden Prozesse aus:
  • Verwenden Sie die folgenden Befehle vom Typ RACDCERT LISTING, um die Zertifikate, die einer bestimmten RACF-ID für einen bestimmten Schlüsselring zugeordnet sind, und vergleichen Sie die Listen:
    RACDCERT ID(RACF-ID_der_Steuerregion) LISTRING(Name_des_Schlüsselrings)
    RACDCERT ID(RACF-ID_der_Servantregion) LISTRING(Name_des_Schlüsselrings)
    • RACF-ID_der_Steuerregion ist die RACF-ID der Steuerregion
    • RACF-ID_der_Servantregion ist die RACF-ID der Servantregion
    • Name_des_Schlüsselrings ist der angegebene Schlüsselring
  • Listen Sie Informationen zu einem Zertifikat in RACF auf. Verwenden Sie den folgenden RACDCERT-LIST-Befehl, und rufen Sie eine Liste der Schlüsselringe und der RACF-IDs auf, die Zugriff auf das Zertifikat haben, und bestimmen Sie, ob die aufgelisteten RACF-IDs der Servantregion und der Steuerregion aufgelistet sind:
    RACDCERT LIST (LABEL('Zertifikatkennsatz')) CERTAUTH
Wenn das Zertifikat für eine RACF-ID zugänglich ist und für die andere RACF-ID nicht, können Sie den folgenden RACDCERT-CONNECT-Befehl verwenden, um das Zertifikat mit der anderen RACF-ID zu verbinden:
RACDCERT ID(RACF-ID_der_Steuerregion) CONNECT (ID(RACF-ID_der_Steuerregion) LABEL('Zertifikatkennung') RING(Name_des_Schlüsselrings) DEFAULT)

Für die Prüfung muss ein Keystore-Objekt einem Schlüsselring in WebSphere Application Server zugeordnet werden. Wenn kein Keystore-Objekt und kein Schlüsselring zugeordnet sind, können Sie die Zuordnung über die Administrationskonsole oder mit dem wsadmin-Befehl CreateKeyStore erstellen. Weitere Informationen finden Sie in der Beschreibung der Keystore-Einstellungen oder der Befehlsgruppe KeyStoreCommands.

Zugriff auf beschreibbare SAF-Schlüsselringe

Wenn Sie beschreibbare SAF-Schlüsselringe aktivieren und der Schlüsselring ein Konfigurationsobjekt in WebSphere Application Server hat, können Sie die Administrationskonsole oder die Task "wsadmin" verwenden, um zu prüfen, ob das Zertifikat für die RACF-IDs der Servantregion und der Steuerregion verfügbar ist. Normalerweise sind die folgenden drei Keystore-Objekte einem beschreibbaren SAF-Schlüsselring zugeordnet:
  • eine schreibgeschützte Sicht für den Schlüsselring
  • die Servantregionssicht des Schlüsselrings
  • die Steuerregionssicht des Schlüsselrings

Wenn das Zertifikat von den Keystore-Objekten der Servantregion und der Steuerregion erkannt wird, können Sie es für Prüfsignaturen und -verschlüsselungen verwenden. Sie können das Keystore-Objekt über die Administrationskonsole oder mit dem Befehl listPersonalCertificates anzeigen. Weitere Informationen finden Sie in den Artikeln, die sich mit der Beschreibung des Zertifikatsmanagements in SSL oder der Befehlsgruppe PersonalCertificateCommands befassen.

Wenn Sie das Zertifikat in einem Keystore-Objekt sehen können, in einem anderen jedoch nicht, können Sie das fehlende Zertifikat in das andere Keystore-Objekt importieren. Beispielsweise müssten Sie das Zertifikat in das Keystore-Objekt der Servantregion importieren, wenn Sie es im Keystore-Objekt der Steuerregion sehen könnten, im Keystore-Objekt der Servantregion jedoch nicht. Sie können das Zertifikat über die Administrationskonsole oder mit dem Befehl importCertificate aus dem Keystore-Objekt der Steuerregion in das Keystore-Objekt der Servantregion importieren. Weitere Informationen finden Sie in der Beschreibung des Zertifikatimports oder der Befehlsgruppe PersonalCertificateCommands.

Weitere Informationen zu beschreibbaren SAF-Schlüsselringen finden Sie in der Beschreibung der Nutzung, Erstellung und Aktivierung beschreibbarer SAF-Schlüsselringe.

Zertifikat in SAF-Schlüsselringen zur Prüfung verwenden

Wenn das Zertifikat für die RACF-IDs der Servantregion und der Steuerregion, die dem SAF-Schlüsselring zugeordnet sind, zugänglich ist, können Sie das Zertifikat für Prüfsignaturen und -verschlüsselungen verwenden. Wenn Sie beschreibbare SAF-Schlüsselringe verwenden möchten, nutzen Sie das schreibgeschützte Keystore-Objekt mit der Prüfkonfiguration. Weitere Informationen zur Verwendung von Zertifikaten für Prüfsignaturen und -verschlüsselungen finden Sie in den Artikeln, die sich mit dem Schutz Ihrer Sicherheitsprüfungsdaten befassen.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safkeyringaudit
Dateiname:csec_safkeyringaudit.html