[IBM i][AIX Solaris HP-UX Linux Windows]

Einen Keystore für Hardwareverschlüsselung konfigurieren

Sie können einen Keystore für Hardwareverschlüsselung erstellen, den WebSphere Application Server für die Unterstützung von Verschlüsselungstoken in der Serverkonfiguration verwenden kann.

Informationen zu diesem Vorgang

Anmerkung: Der Hardwarebeschleuniger wird nur in den folgenden Ausnahmesituationen unterstützt:
  • Sie verwenden WebSphere Application Server for z/OS und den Verschlüsselungsprovider IBMJCECCA.
  • Sie verwenden WebSphere Application Server Version 7.0 und höher auf zLinux und den Provider IBMPKCS11.

Führen Sie in der Administrationskonsole die folgenden Schritte aus:

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate.
  2. Klicken Sie auf Neu.
  3. Geben Sie einen Namen für den Keystore ein. Dieser Name wird verwendet, um die Hardwareverschlüsselung in der Konfiguration von Web Services Security zu aktivieren.
  4. Bei Bedarf können Sie im Feld Beschreibung eine Beschreibung für den Keystore eingeben.
  5. Sie können einen Verwaltungsbereich für den Keystore angeben. Diese Angabe ist nicht erforderlich. Der Verwaltungsbereich ist der Bereich, in dem diese SSL-Konfiguration sichtbar ist. Wenn Sie beispielsweise einen bestimmten Knoten auswählen, ist die Konfiguration nur auf diesem Knoten und den Servern sichtbar, die zu diesem Knoten gehören.
  6. Geben Sie den Pfad für die spezifische Konfigurationsdatei der Hardwareeinheit ein. Die Konfigurationsdatei ist eine Textdatei, die Einträge mit dem folgenden Format enthält: Attribut = Wert. Die gültigen Werte für Attribut und Wert sind ausführlich in der Dokumentation zu Software Developer Kit, Java Technology Edition beschrieben. Die beiden verbindlichen Attribute sind, wie im folgenden Beispiel gezeigt, name und library.
    name = FooAccelerator
    library = /opt/foo/lib/libpkcs11.so
    slotListIndex = 0
    Die Konfigurationsdatei muss außerdem einheitenspezifische Konfigurationsdaten enthalten. Navigieren Sie zur Datei "PKCS11ImplConfigSamples.jar", die Beispielkonfigurationsdateien enthält und die Sie unter der Überschrift "PKCS 11 Implementation Provider" auf der Website zur Java™-Technologie unter der folgenden Adresse finden: http://publib.boulder.ibm.com/infocenter/javasdk/v6r0/topic/com.ibm.java.security.component.60.doc/security-component/introduction.html.
    [AIX Solaris HP-UX Linux Windows][IBM i]Anmerkung: JSSE2 kann den Provider IBMPKCS11Impl nicht für Beschleunigung verwenden.
    1. Verwenden Sie den Link http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html, wenn Sie den Provider IBMPKCS11 threadsicher initialisieren möchten.
    2. Geben Sie eine eindeutige Datei mit der Erweiterung ".cfg" an, die Informationen zur unterstützten Hardwareeinheit enthält. Eine Liste der unterstützten Hardwareeinheiten finden Sie auf der Webseite http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMPKCS11SupportList.html.
    3. Sie können die Methode "Signature.getInstance" wie folgt mit der ordnungsgemäß initialisierten Providerinstanz IBMPKCS11Impl angeben:
      Signature.getInstance("SHA1withRSA", ibmpkcs11implinstance);
  7. [AIX Solaris HP-UX Linux Windows][IBM i]Geben Sie ein Kennwort ein, wenn die Tokenanmeldung erforderlich ist. Operationen, die Schlüssel im Token verwenden, erfordern eine sichere Anmeldung. Dieses Feld ist optional, wenn der Keystore als Verschlüsselungsbeschleuniger verwendet wird. In diesem Fall müssen Sie Verschlüsselungsoperationen für eine Hardwareeinheit auswählen.
  8. [z/OS]Wenn die Tokenanmeldung erforderlich ist, geben Sie das Kennwort für den Keystore im Feld Kennwort ein.

    Operationen, die Schlüssel im Token verwenden, erfordern eine sichere Anmeldung. Dieses Feld ist optional, wenn der Keystore als Verschlüsselungsbeschleuniger verwendet wird. In diesem Fall müssen Sie die Option Verschlüsselungsoperationen für eine Hardwareeinheit auswählen.

    Aus Gründen der Kompatibilität mit dem JCE-Keystore, der ein Kennwort erfordert, lautet das JCERACFKS-Kennwort password. Die Sicherheit für diesen Keystore wird nicht wie bei anderen Keystoretypen allein durch die Verwendung eines Kennworts gewährleistet. Sie basiert in diesem Fall eher auf der Identität des ausführenden Threads für den Schutz mit RACF. Dieses Kennwort ist für die Keystoredatei bestimmt die Sie im Feld "Pfad" angegeben haben.

  9. Wählen Sie den Typ PKCS11 aus.
  10. Wählen Sie Schreibgeschützt aus.
  11. Klicken Sie auf OK und Speichern.

Ergebnisse

WebSphere Application Server unterstützt jetzt Verschlüsselungstoken in der Serverkonfiguration.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfhwcrypkeystore
Dateiname:tsec_sslconfhwcrypkeystore.html