[z/OS]

Beschreibbare SAF-Schlüsselringe aktivieren

In WebSphere Application Server gibt es eine Funktion, mit der ein WebSphere Application Server-Administrator Zertifikatsverwaltungsoperationen für SAF-Schlüsselringe (System Authorization Facility) ausführen kann. Dazu werden die Funktionen für SAF-Schlüsselringe der OCSF-Datenbibliothek (Open Cryptographic Services Facility) genutzt. Mit der hier beschriebenen Task werden vorhandene Konfigurationen migriert und beschreibbare SAF-Schlüsselringe aktiviert.

Vorbereitende Schritte

Führen Sie diese Task aus, wenn Sie Keystoreobjekte migrieren möchten, für die während der Profilerstellung nicht die Modifizierbarkeitsunterstützung aktiviert wurde. Diese Unterstützung kann nur unter z/OS Release 1.9 oder z/OS Release 1.8 mit APAR OA22287 (Resource Access Control Facility, RACF) (bzw. dem entsprechenden APAR für Ihr Sicherheitsprodukt) sowie mit APAR OA22295 (SAF) konfiguriert werden.

Damit diese Task gestartet werden kann, muss das Tool "wsadmin" aktiv sein. Weitere Informationen finden Sie im Artikel zum Starten des wsadmin-Scripting-Clients.

Informationen zu diesem Vorgang

Wenn bei der Profilverwaltung die Unterstützung für beschreibbare Schlüsselringe aktiviert wurde, können Standardkeystorekonfigurationen beschreibbare Schlüsselringe verwenden. Bei einer Migration von einer früheren WebSphere Application Server-Installation können Sie alternativ die folgenden Schritte ausführen, um für ein Keystoreobjekt beschreibbare Schlüsselringe zu aktivieren.

AdminTask kann im Dialogmodus und im Stapelbetrieb verwendet werden. Für die Automatisierung müssen die Optionen für den Stapelbetrieb verwendet werden. Für den Aufruf von AdminTask im Stapelbetrieb kann ein JACL- oder Jython-Script verwendet werden. Im Dialogmodus werden alle Parameter, die die Task erfordert, schrittweise durchgegangen. Erforderliche Parameter sind mit einem Stern (*) gekennzeichnet. Bevor die Task von AdminTask ausgeführt wird, wird die Syntax für die Ausführung der Task im Stapelbetrieb am Bildschirm ausgegeben. Dies kann beim Schreiben von Scripts für die Automatisierung, die im Stapelmodus ausgeführt werden sollen, hilfreich sein.

Die folgenden Attribute sind für die Erstellung von Keystoreobjekten mit beschreibbarem SAF-Schlüsselring erforderlich:
  • keyStoreName
  • controlRegionUser
  • servantRegionUser

Im Dialogmodus werden beschreibbare SAF-Schlüsselringe wie folgt aktiviert:

Vorgehensweise

  1. Gehen Sie im Dialogmodus alle Attribute durch. Bei Bedarf können Sie für Attribute die Standardwerte verwenden.
    Der Standardwert wird in der Befehlszeile in eckigen Klammern "[]" angezeigt. Das im Stapelbetrieb verwendete Flag wird in der Befehlszeile in runden Klammern "()" angegeben. Wenn Sie den Standardwert verwenden, wird das Flag in der Befehlszeile für den Stapelbetrieb nicht angezeigt.
    • Mit Jacl:
      $AdminTask enableWritableKeyrings -interactive
    • Mit Jython:
      AdminTask.enableWritableKeyings ('[interactive]')
  2. Nachfolgend sehen Sie eine Beispielausgabe von Schritt 1:
    *Keystore Name (keyStoreName): NodeDefaultKeyStore
    Management Scope Name (scopeName):
    *Benutzer-ID der Steuerregion für z/OS (SAF) (controlRegionUser): CRRACFID
    *Benutzer-ID der Servantregion für z/OS (SAF) (servantRegionUser): SRRACFID
    
    Keystore für SAF-Unterstützung mit Schreibzugriff ändern
    
    F (Finish)
    C (Cancel)
    
    Select [F, C]: [F] F
    WASX7278I: Generated command line: $AdminTask enableWritableKeyrings {-keyStoreName NodeDefaultKeyStore 
    -controlRegionUser CRRACFID -servantRegionUser SRRACFID })

Ergebnisse

Es werden zwei zusätzliche Keystoreobjekte erstellt, um Zertifikatsoperationen für den entsprechenden Schlüsselring ausführen zu können. Auf diese Objekte können Sie über die Administrationskonsole zugreifen. Die Namen der Keystoreobjekte lauten Keystorename -CR und Keystorename -SR. Hier steht Keystorename für den Namen des Keystores, den Sie im Erstellungsbefehl angegeben haben.

Keystorename -CR entspricht dem Schlüsselring, dessen Eigner die RACF-ID des Prozesses für die Steuerregion ist, und Keystorename -SR entspricht dem Keystore, dessen Eigner die RACF-ID des Prozesses für die Servantregion ist.

Diese Keystores werden in demselben Bereich wie der mit Keystorename bezeichnete Keystore erstellt. Über die Sammlung der Keystores in der Administrationskonsole können Sie auf diese Keystores zugreifen.

Nächste Schritte

Zugriff auf beschreibbare SAF-Schlüsselringe
  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen für Endpunkte verwalten > {Eingehend | Abgehend} >SSL-Konfiguration > Keystores und Zertifikate > [Keystore ].
  2. Klicken Sie unter "Beschreibbare SAF-Schlüsselringe" auf Schlüsselring der Steuerregion oder Schlüsselring der Servantregion, um für den Schlüsselring der jeweiligen Region die Sammlung der Keystores anzuzeigen.
  3. Navigieren Sie unter "Weitere Eigenschaften" zu den Zertifikatsammlungen, um Verwaltungsoperationen für Zertifikate auszuführen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7enableSAF_keyring
Dateiname:tsec_7enableSAF_keyring.html