![[z/OS]](../images/ngzos.gif)
z/OS-Hardwareverschlüsselung unter Verwendung der ICSF- und RACF-Keystores
Integrated Cryptographic Service Facility (ICSF) ist die Software auf einem z/OS-System, die als Schnittstelle zu der Hardware dient, in der Schlüssel gespeichert werden können. Keystores des Typs IBMJCECCARACFKS werden für Zertifikate und Schlüssel verwendet, die in RACF (Resource Access Control Facility) verwaltet werden. Die Zertifikate werden in RACF gespeichert, die Schlüssel können jedoch in ICSF oder in RACF gespeichert werden. Der Keystore IBMJCECCARACFKS nutzt die Hardwareverschlüsselung, die Elemente wie Verschlüsselung, Entschlüsselung und Signatur umfasst, unabhängig davon, ob die Schlüssel in RACF oder in ICSF gespeichert sind.
Vorbereitende Schritte
Bevor Sie mit dieser Task beginnen, sollten Sie den Artikel Unterstützung von Hardwareverschlüsselungseinheiten für Web Services Security.
- Sie müssen eine Konfiguration sicherstellen, mit der Ihre Zertifikate in RACF gestellt werden können. Weitere Informationen dazu, wie Sie Ihre Zertifikate in RACF stellen können, finden Sie im Information Center der z/OS-Version, die auf Ihrem System ausgeführt wird.
- Sie müssen sich mit CSFSERV-Zugriffsberechtigungen, die für die vom IBMJCECCA-Provider verwendeten ICSF-Services erforderlich sind, vertraut machen. Informationen zu diesen Zugriffsberechtigungen finden Sie im Dokument "Java Cryptography Extension in Java Platform Standard Edition, Hardware Cryptography IBMJCECCA Overview". Dieses Dokument ist auf der Webseite http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html verfügbar.
- Vergewissern Sie sich, dass ICSF aktiviert ist.
Informationen zu diesem Vorgang
Der Keystore JCECCAKS wird für Schlüssel verwendet, die direkt in ICSF verwaltet und gespeichert werden, und er setzt voraus, dass Sie den Provider IBMJCECCA in die Providerliste aufnehmen, die in der Datei java.security angegeben ist.
Der Keystore JCECCARACFKS wird für in RACF verwaltete Zertifikate und Schlüssel verwendet. Die Zertifikate werden in RACF gespeichert, während die Schlüssel in RACF oder ICSF gespeichert werden können. Wenn Sie den Keystoretyp JCECCARACFKS verwenden, müssen Sie den Provider IBMJCECCA in die mit der Datei java.security angegebene Providerliste aufnehmen. Die Hardwareverschlüsselung kann aus Leistungsgründen auch dann genutzt werden, wenn die Schlüssel nicht in der Hardware gespeichert sind.
Der Keystore JCERACFKS wird zusammen mit dem Provider IBMJCE oder IBMJCECCA verwendet. Der Keystore JCERACFKS kann für Zertifikate und Schlüssel verwendet werden, die in RACF verwaltet und gespeichert werden. Die Hardwareverschlüsselung kann aus Leistungsgründen genutzt werden, wenn der Provider IBMJCECCA verwendet wird. Die URI-Pfadreferenz für den Keystore JCERACFKS hat folgendes Format: safkeyring:///Name_Ihres_Schlüsselrings.