[z/OS]

SAF-Schlüsselringe mit Java Secure Sockets Extension verwenden

Kunden von WebSphere Application Server for z/OS, die den Server W50100x oder höher mit Java™ Development Kit 1.3 level SR20 oder höher ausführen, können Ihre Systeme von WebSphere Application Server so ändern, dass System Authorization Facility (SAF) für Java Secure Sockets Extension (JSSE) und Secure Sockets Layer (SSL) verwendet werden. Auf diese Weise müssen Zertifikate im hierarchischen Dateisystem (HFS, Hierarchical File System) nicht doppelt verwaltet werden.

Vorbereitende Schritte

In WebSphere Application Server for z/OS mit Wartungsstufen vor W502000 wurden Informationen zu digitalen Zertifikaten aufgrund der folgenden SDK-Einschränkungen (Software Development Kit) an zwei verschiedenen Positionen gespeichert:
  • JSSE verwendet digitale Zertifikate, die in Dateien im hierarchischen Dateisystem gespeichert sind.
  • SSL verwendet Informationen zu digitalen Zertifikate, die in der SAF-Datenbank gespeichert sind.
Systeme, die auf W502000 oder höher angepasst wurden, verwenden standardmäßig das SAF-Repository für digitale Zertifikate. Die folgenden Änderungen sind dafür nicht erforderlich.

Informationen zu diesem Vorgang

Kunden von WebSphere Application Server for z/OS, die den Server W50100x oder höher mit Java Development Kit 1.3 SR20 oder höher ausführen, können Ihre Systeme von WebSphere Application Server so ändern, dass SAF für JSSE und SSL verwendet werden (wodurch die Verwaltung doppelter Zertifikate im hierarchischen Dateisystem entfällt). Die folgenden Anweisungen beschreiben, wie diese Unterstützung aktiviert wird.
Anmerkung: Systeme, die auf W502000 oder höher angepasst wurden, verwenden standardmäßig das SAF-Repository für digitale Zertifikate. Die folgenden Änderungen sind dafür nicht erforderlich.

Gehen Sie wie folgt vor, wenn Sie SAF-Zertifikate mit JSSE verwenden möchten:

Vorgehensweise

  1. Aktualisieren Sie die JMX-Connector-Einstellungen (Java Management Extensions), um die Namen der SAF-Schlüsselringe für den Knoten anzugeben.
    1. Melden Sie sich mit einer ID mit Administratorberechtigung an der Administrationskonsole an.
    2. Klicken Sie auf Server > Anwendungsserver > Servername.
    3. Klicken Sie unter "Serverinfrastruktur" auf Verwaltung > Verwaltungsservices.
    4. Klicken Sie unter "Weitere Eigenschaften" auf JMX-Connector.
    5. Klicken Sie in der Anzeige "JMX-Connector" auf SOAPConnector.
    6. Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften.
    7. Klicken Sie auf der Seite "Angepasste Eigenschaften" auf sslConfig.
    8. Vergewissern Sie sich, dass auf der Seite "sslConfig" im Feld "Wert" Knotenname/DefaultSSLSettings angezeigt wird, wobei Knotenname für den Namen des Knotens steht, auf dem sich der Anwendungsserver befindet. Notieren Sie den Knotennamen für nachfolgende Schritte.
    9. Wählen Sie Knotenname/RACFJSSESettings in der Liste neben dem Feld "Wert" aus, wobei Knotenname für den Namen steht, den Sie zuvor als Knotennamen notiert haben.
    10. Klicken Sie auf OK. Die Seite "Angepasste Eigenschaften" erscheint, auf der Sie in einer Nachricht darauf hingewiesen werden, dass Änderungen an der lokalen Konfiguration vorgenommen wurden. Klicken Sie nicht auf Speichern, weil weitere Änderungen erforderlich sind.
  2. Klicken Sie auf Server > Anwendungsserver und wiederholen Sie die vorherigen Teilschritte für jeden der anderen Anwendungsserver in der Zelle.
  3. Aktualisieren Sie die JMX-Connector-Einstellungen (Java Management Extensions), um die Namen der SAF-Schlüsselringe für den Deployment-Manager-Knoten anzugeben.
    1. Klicken Sie auf Systemverwaltung > Deployment Manager.
    2. Klicken Sie unter "Weitere Eigenschaften" auf Verwaltungsservices > JMX-Connector.
    3. Klicken Sie in der Anzeige "JMX-Connector" auf SOAPConnector.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften.
    5. Klicken Sie auf der Seite "Angepasste Eigenschaften" auf sslConfig.
    6. Vergewissern Sie sich, dass auf der Seite "sslConfig" im Feld "Wert" DM-Knoten/DefaultSSLSettings angezeigt wird, wobei DM-Knoten für den Namen des Deployment-Manager-Knotens steht. Notieren Sie den Knotennamen für nachfolgende Schritte.
    7. Wählen Sie DM-Knoten/RACFJSSESettings in der Liste neben dem Feld "Wert" aus, wobei DM-Knoten für den Namen des Deployment-Manager-Knotens steht.
    8. Klicken Sie auf OK. Kurze Zeit später erscheint die Seite "Angepasste Eigenschaften", auf der Sie in einer Nachricht darauf hingewiesen werden, dass Änderungen an der lokalen Konfiguration vorgenommen wurden. Klicken Sie nicht auf Speichern, weil weitere Änderungen erforderlich sind.
  4. Aktualisieren Sie die JMX-Connector-Einstellungen (Java Management Extensions), um die Namen der SAF-Schlüsselringe für den Node Agent anzugeben.
    1. Klicken Sie auf Systemverwaltung > Node Agents > Knotenname. Notieren Sie den Node-Agent-Namen für den nächsten Schritt.
    2. Klicken Sie unter "Weitere Eigenschaften" auf Verwaltungsservices > JMX-Connector.
    3. Klicken Sie in der Anzeige "JMX-Connector" auf SOAPConnector.
    4. Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften.
    5. Klicken Sie auf der Seite "Angepasste Eigenschaften" auf sslConfig.
    6. Vergewissern Sie sich, dass auf der Seite "sslConfig" im Feld "Wert" Knotenname/DefaultSSLSettings angezeigt wird, wobei Knotenname für den Namen des Knotens steht, auf dem sich der Node Agent befindet. Notieren Sie den Knotennamen für nachfolgende Schritte.
    7. Wählen Sie Knotenname/RACFJSSESettings in der Liste neben dem Feld "Wert" aus, wobei Knotenname für den Namen des Knotens steht, den Sie zuvor notiert haben.
    8. Klicken Sie auf OK. Die Seite "Angepasste Eigenschaften" erscheint, auf der Sie in einer Nachricht darauf hingewiesen werden, dass Änderungen an der lokalen Konfiguration vorgenommen wurden. Klicken Sie nicht auf Speichern, weil weitere Änderungen erforderlich sind.
  5. Klicken Sie auf Systemverwaltung > Node Agents und wiederholen Sie die vorherigen Teilschritte für jeden der anderen Node-Agent-Server in der Zelle.
  6. Klicken Sie auf Speichern, wenn die folgende Nachricht erscheint: Es wurden Änderungen an der lokalen Konfiguration vorgenommen. Klicken Sie auf Speichern, um die Änderungen auf die Masterkonfiguration anzuwenden.
  7. Wählen Sie auf der Seite "Speichern" die Option Änderungen mit Knoten synchronisieren aus und klicken Sie auf Speichern. Nachdem Sie die Änderungen gespeichert haben, wird die Startseite der Administrationskonsole wieder angezeigt.
  8. Aktualisieren Sie die Datei soap.client.props im Verzeichnis Profilstammverzeichnis/properties, um die Namen der SAF-Schlüsselringe für Ihre Konfiguration anzugeben. Die Datei soap.client.props wird vom Script wsadmin.sh verwendet und befindet sich in der Datei (user.install.root)/properties des Anwendungsservers oder Deployment Manager. In der Datei soap.client.props werden die Werte angegeben, die von SOAP-Clients wie wsadmin.sh verwendet werden. In einer Zelle, die mit einer Instanz von WebSphere Application Server for z/OS vor Wartungsstufe W502000 konfiguriert wurde, enthält die Datei soap.client.props die Namen der von JSSE verwendeten Java-Keystores. Sobald Ihre Zelle SAF-Schlüsselringe für die JSSE-Verwaltung verwendet, vergewissern Sie sich, dass SAF-Schlüsselringe für SOAP-Clients verwendet werden.

    Die Datei soap.client.props wird vom Script wsadmin.sh verwendet.

    Änderungen an den SAF-Schlüsselringen des wsadmin-Clients erfordern eine Aktualisierung der Datei soap.client.props und die Erstellung eines Schlüsselrings für Administratoren. Geben Sie die folgenden Werte an:
    com.ibm.ssl.protocol=SSL
    com.ibm.ssl.keyStoreType=JCERACFKS
    com.ibm.ssl.keyStore=safkeyring:///NameIhresSchlüsselrings
    com.ibm.ssl.keyStorePassword=Kennwort
    com.ibm.ssl.trustStoreType=JCERACFKS
    com.ibm.ssl.trustStore=safkeyring:///NameIhresSchlüsselrings
    com.ibm.ssl.trustStorePassword=Kennwort
    =

    Der angegebene Kennwortwert stellt kein echtes Kennwort dar, weil Sie eine beliebige Zeichenfolge verwenden können. Ersetzen Sie die Zeichenfolge NameIhresSchlüsselrings durch den SAF-Schlüsselring, den Sie für die Verwaltung verwenden. Der Schlüsselringname, der von allen WebSphere-Administratoren und von der Benutzer-ID mit Administratorberechtigung für gestartete Tasks (standardmäßig WSADMSH) verwendet wird, muss immer identisch sein. Außerdem muss ein Schlüsselring für jeden Benutzer erstellt werden, der die Datei wsadmin.sh mit dem SOAP-Connector verwendet, wenn SAF-Schlüsselringe verwendet werden und die Sicherheit aktiviert ist. (Ein Schlüsselring wird vom Anpassungsprozess für Ihre anfängliche Benutzer-ID mit Administratorberechtigung, z. B. WSADMIN, erstellt.)

    Wie Schlüsselringe für Benutzer mit Verwaltungsaufgaben in SAF erstellt werden, wird in den SSL-Hinweisen für Administratoren von WebSphere Application Server beschrieben.

  9. Stoppen Sie die Zelle und starten Sie sie dann erneut.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_racfjssekeyringzos
Dateiname:tsec_racfjssekeyringzos.html