![[z/OS]](../images/ngzos.gif)
RACF-Schlüsselring konfigurieren
Mit Java einen RACFInputStream für einen RACF-Keystore erstellen
Während der SSL-Authentifizierung interpretiert WebSphere Application Server ein Zertifikat mit dem Attribut PERSONAL als einen Schlüsseleintrag. Sie können das Zertifikat als Endbenutzerzertifikat für einen SSL-Handshake verwenden, weil der private Schlüssel verfügbar ist.
Ein Zertifikat mit dem Attribut CERTAUTH wird von WebSphere Application Server als TrustedCertEntry betrachtet und wie eine Zertifizierungsstelle behandelt. Schlüsselringe erfordern Zertifikate mit dem Attribut PERSONAL und CA-Zertifikate mit dem Attribut CERTAUTH. Zertifikate mit dem Attribut SITE werden in diesem Release nicht unterstützt.
Certificate Label Name Cert Owner USAGE DEFAULT
---------------------- ---------- -------- -------
PersonalEndUserCert ID(USERID) PERSONAL YES
PersonalEndUserCACert CERTAUTH CERTAUTH NO
security.provider.X=com.ibm.security.cert.IBMCertPath
Falls eines der RACF-Zertifikate nicht geladen werden kann, wird der Keystore nicht geladen. Sie müssen alle nicht erwünschten Zertifikate aus dem Schlüsselring löschen.
Der RACFInputStream enthält drei Parameter:- userid - eine Zeichenfolge mit der ID des Benutzers, der Eigner des Schlüsselrings ist
- ringid - eine Zeichenfolge mit dem Namen des RACF-Schlüsselrings
- password - ein Zeichenbereich mit dem Kennwort für den Keystore
import com.ibm.crypto.provider.RACFInputStream;
String ksfname;
char[] storePass = null;
RACFInputStream riStream = new RACFInputStream(System.getProperty("user.name"),
ksfname,
storePass);
KeyStore racfKeyStore = KeyStore.getInstance("JCERACFKS");
racfKeyStore.load(riStream, storePass);
riStream.close();
Die Systemeigenschaft
user.name wird im obigen Beispiel referenziert, um die Benutzer-ID bereitzustellen, die
WebSphere Application Server an RACF übergibt. Dieses Beispiel ist untypisch. Weitere Informationen zur Ausführung von RACFInputStream-Scripts finden Sie im Dokument zu z/OS Unique Considerations for the Java 2 SDK, Standard Edition, v 6.0. Ein Link auf dieses z/OS-Dokument finden Sie im Abschnitt mit zugehörigen Links in diesem Artikel.
Zugriff auf RACFInputStream mit URLStreamHandler
In diesem Release können Sie mit dem Objekt URLStreamHandler über benutzerdefinierte Klassen auf Daten zugreifen. WebSphere Application Server kann die Klassen, die auf die Daten zugreifen, mit der Systemeigenschaft java.protocol.handler.pkgs definieren. Verwenden Sie für den Zugriff auf Daten in einem SAF-RACF-Schlüsselring den safkeyring-URL mit den zugehörigen Klassen.-Djava.protocol.handler.pkgs
Falls Sie für die Verschlüsselungsunterstützung
den IBMJCE-Provider (IBM® Java Cryptography Extension) verwenden, setzen Sie
die Eigenschaft auf den folgenden Wert:-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
Falls Sie für die Verschlüsselungsunterstützung
den IBMJCE4758-Provider verwenden, setzen Sie die Eigenschaft auf den folgenden Wert:-Djava.protocol.handler.pkgs=com.ibm.crypto.hdwrCCA.provider
Einen Datenstrom-Handler können Sie in der Datei
java.policy mit einem URL angeben.
Das Dienstprogramm jarsigner akzeptiert auch für den Parameter -keystore einen URL.
Wenn Zertifikate aus einem RACF-Schlüsselring für die Prüfung von signierten JAR-Dateien verwendet werden, können Sie angeben, dass
WebSphere Application Server den Schlüsselring
als Eingabedatenstrom für den Keystore in der Datei
java.policy verwenden muss. Schauen Sie sich dazu den folgenden Beispielcode an: keystore "safkeyring://myracfid/my_key_ring", " JCERACFKS";
Für dieses Beispiel gilt Folgendes: - safkeyring ist das URL-Schlüsselwort, mit dem der Server auf den URLStreamHandler-Code zugreift, um Daten aus dem Schlüsselring zu lesen.
- myracfid ist die RACF-Benutzer-ID, die berechtigt ist, Daten aus dem Schlüsselring zu lesen.
- my_key_ring ist der Name des Schlüsselrings, aus dem die Daten gelesen werden.
- JCERACFKS ist der für einen SAF-Schlüsselring-Keystore (RACF) definierte Keystore-Typ.
jarsigner -keystore safkeyring://myracfid/my_key_ring -signedjar
ibmjceproviders.jar ibmjceprovider.jar ibmprovider -storetype JCERACFKS
- z/OS SecureWay Security Server RACF Security Administrator's Guide - IBM Form SA22-7683
- z/OS SecureWay Security Server RACF Command Language Reference - IBM Form SA22-7687