[z/OS]

Schlüsselring für das Stammzertifikat konfigurieren

In WebSphere Application Server gibt es eine Funktion, mit der ein WebSphere Application Server-Administrator Zertifikatsverwaltungsoperationen für SAF-Schlüsselringe (System Authorization Facility) ausführen kann. Dazu werden die SAF-Schlüsselringfunktionen der OCSF-Datenbibliothek (Open Cryptographic Services Facility) genutzt. In diesem Abschnitt ist die Konfiguration eines Schlüsselrings für das Stammzertifikat beschrieben.

Vorbereitende Schritte

Bevor Sie die Anwendungsserverprofile generieren, müssen Sie mit Profile Management Tool die Unterstützung für beschreibbare Schlüsselringe aktivieren. Diese Unterstützung kann nur unter z/OS Release 1.9 or at z/OS Release 1.8 with APAR OA22287 (Resource Access Control Facility, RACF) bzw. dem äquivalenten APAR für Ihr Sicherheitsprodukt sowie mit APAR OA22295 (SAF) konfiguriert werden.

Informationen zu diesem Vorgang

Das Stammzertifikat der Zertifizierungsstelle wird verwendet, um andere Zertifikate für WebSphere Application Server zu signieren. Während der Profilverwaltung werden automatisch der Standardstammschlüsselring (NodeDefaultRootStore oder - für einen Deployment Manager - DmgrDefaultRootStore) und das Stammzertifikat der Zertifizierungsstelle konfiguriert. Bei einer Migration von einer früheren WebSphere Application Server-Installation können Sie alternativ die folgenden Schritte ausführen, um den Stammschlüsselring für ein Keystore-Objekt zu konfigurieren.

Vorgehensweise

  1. Erstellen Sie einen Schlüsselring für die RACF-ID der Steuerregion Ihres Servers. Setzen Sie beispielsweise den folgenden Befehl ab, wenn Ihr Server mit der RACF-Benutzer-ID CRRACFID ausgeführt wird:
    RACDCERT ADDRING(keyring_name.Root) ID(CRRACFID)
    CRRACFID ist hier die RACF-ID für die Steuerregion des Anwendungsservers. Schlüsselring steht hier für den Namen des z/OS-Schlüsselrings, der von den Servern in der Zelle verwendet wird.
  2. Wenn Sie mit dem Stammzertifikat der Zertifizierungsstelle verkettete Zertifikate erstellen möchten, muss der in Schritt 1 erstellte Schlüsselring das CA-Zertifikat mit öffentlichen/privaten Schlüsseln enthalten, das für Ihre WebSphere Application Server-Installation generiert wurde. Für eine Verbindung zum Zertifikat müssen Sie die folgenden Schritte ausführen:

    Ermitteln Sie für Ihre Installation die Bezeichnung des CA-Stammzertifikats. Setzen Sie dann den folgenden Befehl ab:

    RACDCERT ID(CRRACFID) CONNECT (RING(Schlüsselring.Root) LABEL('CA-Stammbezeichnung') CERTAUTH USAGE(PERSONAL))
    CRRACFID ist hier die RACF-ID für die Steuerregion des Anwendungsservers. Schlüsselring steht hier für den Namen des z/OS-Schlüsselrings, der von den Servern in der Zelle verwendet wird. CA-Stammbezeichnung steht hier für das Stammzertifikat der Zertifizierungsstelle.
  3. Modifizieren Sie NodeDefaultRootStore (bzw. DmgrDefaultRootStore für Deployment Manager) so, dass der Rootstore auf den in Schritt 1 erstellten Schlüsselring zeigt.
    1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und -Schlüsseln > Keystores und Zertifikate.
    2. Wählen Sie unter "Keystore-Verwendung" Keystore für Stammzertifikate aus.
    3. Wählen Sie NodeDefaultRootStore (oder DmgrDefaultRootStore für Deployment Manager) aus.
    4. Gehen Sie unter "Allgemeine Eigenschaften" wie folgt vor:
      1. Modifizieren Sie den Pfad.
        safkeyring://CRRACFID/Schlüsselring.Root

        CRRACFID ist hier die RACF-ID für die Steuerregion des Anwendungsservers. Schlüsselring steht hier für den Namen des z/OS-Schlüsselrings, der von den Servern in der Zelle verwendet wird.

      2. Setzen Sie den Typ auf JCERACFKS.
      3. Geben Sie das Kennwort Kennwort ein.
    5. Klicken Sie auf Anwenden.

Ergebnisse

Nach diesen Schritten wird ein neuer z/OS-Schlüsselring erstellt, der das Stammzertifikat der Zertifizierungsstelle mit einem Anhang für die persönliche Verwendung enthält.

Nächste Schritte

Prüfen Sie, ob der Keystore erfolgreich modifiziert wurde.
  1. Klicken Sie in der Anzeige mit der Keystore-Sammlung unter "Weitere Eigenschaften" auf Persönliche Zertifikate.
  2. Prüfen Sie, ob das Zertifikat in der Liste enthalten ist.
Bekannte Fehlerbedingungen
  • Bei dem Versuch, einen neuen Schlüsselring zu erstellen, können die folgenden Fehlernachrichten angezeigt werden:
    R_datalib (IRRSDL00) error: One or more updates could not be completed. Requested Function_code not defined. Function code: (7) Return Codes: (8, 8, 20)
    Diese Nachrichten weisen darauf hin, dass Sie versucht haben, einen neuen Schlüsselring zu erstellen, ohne die native Unterstützung für Modifizierbarkeit installiert zu haben. Sie müssen unter z/OS Release 1.9 oder 1.8 mit den APARs OA22287 und OA22295 arbeiten.
  • Die folgende Nachricht kann angezeigt werden, wenn Sie versuchen, Schreiboperationen für einen SAF-Schlüsselring auszuführen. Zu diesen Operationen gehört beispielsweise das Erstellen oder Löschen eines Zertifikats.
    Error Message: An error occurred creating the key store: R_datalib (IRRSDL00) error: One or more updates could not be completed. Not RACF authorized to use the requested service. Function code: (7) Return Codes: (8, 8, 8)
    Diese Nachricht erscheint, wenn Sie nicht die richtige RACF-Berechtigung definiert haben. Lesen Sie hierzu das Dokument Defining RACF authority for Clients and Servers in der z/OS-Internetbibliothek unter http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/.
  • Die folgende Nachricht kann angezeigt werden, wenn Sie Schreiboperationen ausführen und es den zugrunde liegenden Schlüsselring nicht in RACF gibt.
    R_datalib (IRRSDL00) error: profile for ring not found (8, 8, 84)
    Stellen Sie vor dem Ausführen von Schreiboperationen für das Zertifikatsmanagement sicher, dass der Schlüsselring in RACF vorhanden ist.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7configureSAF_keyring
Dateiname:tsec_7configureSAF_keyring.html