[z/OS]

Beschreibbare SAF-Schlüsselringe erstellen

WebSphere stellt eine Funktion bereit, mit der ein WebSphere-Administrator Zertifikatverwaltungsoperationen für SAF-Schlüsselringe (System Authorization Facility) ausführen kann. Dazu werden die Funktionen für SAF-Schlüsselringe der OCSF-Datenbibliothek (Open Cryptographic Services Facility) genutzt. Mit der hier beschriebenen Task werden neue Keystore-Konfigurationen mit den zugehörigen Schlüsselringen erstellt.

Vorbereitende Schritte

Der JCERACFKS-Keystore wird zusammen mit dem Provider IBMJCE oder IBMJCECCA verwendet. Sie können den JCERACFKS-Keystore für Zertifikate und Schlüssel nutzen, die von RACF (Resource Access Control Facility) verwaltet und gespeichert werden. Der URI-Pfadverweis für den JCERACFKS-Keystore hat das Format safkeyring:///Name_des_Schlüsselrings.
Achtung: Der Keystore-Typ JCERACFKS ist nur auf der Plattform z/OS verfügbar.
Wichtig: Bevor Sie die Anwendungsserverprofile generieren, müssen Sie mit Profile Management Tool die Unterstützung für beschreibbare Schlüsselringe aktivieren. Diese Unterstützung kann nur unter z/OS Release 1.9 oder z/OS Release 1.8 mit APAR OA22287 - RACF (bzw. mit dem äquivalenten APAR für Ihr Sicherheitsprodukt) sowie mit APAR OA22295 - SAF konfiguriert werden.

Informationen zu diesem Vorgang

Führen Sie in der Administrationskonsole die folgenden Schritte aus:

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln. Klicken Sie unter "Konfigurationseinstellungen" auf Sicherheitskonfigurationen für Endpunkte verwalten > {Eingehend | Abgehend} > SSL-Konfiguration. Klicken Sie unter "Zugehörige Elemente" auf Keystores und Zertifikate. Klicken Sie dann auf die Schaltfläche Neu.
  2. Geben Sie im Feld Name einen Namen ein. Dieser Name identifiziert den Keystore eindeutig in der Konfiguration.
  3. Geben Sie im Feld Pfad die Position der Keystore-Datei ein.Der URI muss das Wort safkeyring enthalten. Beispiel: safkeyring:///Name_des_Schlüsselrings
  4. Geben Sie im Feld Kennwort "password" als Keystore-Kennwort ein. Aus Gründen der Kompatibilität mit dem JCE-Keystore, der ein Kennwort erfordert, lautet das JCERACFKS-Kennwort "password". Die Sicherheit für diesen Keystore wird nicht wie bei anderen Keystore-Typen allein durch die Verwendung eines Kennworts gewährleistet. Sie basiert in diesem Fall eher auf der Identität des ausführenden Threads für den Schutz mit RACF. Dieses Kennwort ist für die Keystore-Datei bestimmt, die Sie im Feld Pfad angegeben haben.
  5. Wählen Sie als Typ JCERACFKS aus, und vervollständigen Sie ggf. die übrigen Felder.
  6. Löschen Sie die Markierung im Kontrollkästchen Schreibgeschützt.
  7. Geben Sie im Feld "Benutzer der Steuerregion" die Benutzer-ID der gestarteten Task für die Steuerregion (RACF-ID) an, die für die Erstellung des SAF-Schlüsselrings der Steuerregion verwendet wurde. Die Benutzer-ID muss exakt mit der von der Steuerregion verwendeten RACF-ID übereinstimmen.
    Anmerkung: Diese Option ist nur auf die Erstellung beschreibbarer SAF-Schlüsselringe unter z/OS anwendbar.
  8. Geben Sie im Feld "Benutzer der Servant-Region" die Benutzer-ID der gestarteten Task für die Servant-Region (RACF-ID) an, die für die Erstellung des SAF-Schlüsselrings der Servant-Region verwendet wurde. Die Benutzer-ID muss exakt mit der von der Servant-Region verwendeten RACF-ID übereinstimmen.
    Anmerkung: Diese Option ist nur auf die Erstellung beschreibbarer SAF-Schlüsselringe unter z/OS anwendbar.
  9. Klicken Sie auf OK und anschließend auf Speichern, um die Änderungen auf die Masterkonfiguration anzuwenden.

Ergebnisse

Für das Konfigurieren von SSL-Verbindungen steht jetzt ein Keystore zur Verfügung. Es werden zwei zusätzliche Keystore-Objekte erstellt, um Zertifikatschreiboperationen für den entsprechenden Schlüsselring ausführen zu können. Auf diese Objekte können Sie über die Administrationskonsole zugreifen. Die Namen der Keystore-Objekte lauten Keystore-Name -CR und Keystore-Name -SR. Hier steht Keystore-Name für den Namen des Keystore, den Sie im Erstellungsbefehl angegeben haben. Keystore-Name -CR entspricht dem Schlüsselring, dessen Eigner die RACF-ID des Prozesses für die Steuerregion ist, und Keystore-Name -SR entspricht dem Keystore, dessen Eigner die RACF-ID des Prozesses für die Servant-Region ist. Diese Keystores werden in demselben Bereich wie der mit Keystore-Name bezeichnete Keystore erstellt. Über die Sammlung der Keystores in der Administrationskonsole könne Sie auf diese Keystores zugreifen.

Nächste Schritte

Auch nach Erstellung einer SSL-Konfiguration können Sie die Komunikation zwischen dem Client und dem Server mit dieser Keystore-Datei schützen. Zusätzlich können Sie jetzt über die Administrationskonsole oder das Framework der Befehlstasks in den mit diesem Befehl generierten, beschreibbare Keystore-Konfigurationen Verwaltungsoperationen für Zertifikate ausführen.
Hinweise zum RACF-Schlüsselring
Löschen eines Zertifikats
Wenn ein Zertifikat aus einem RACF-Schlüsselring gelöscht wird, wird es nicht aus RACF gelöscht. Es wird lediglich die Verbindung zwischen Zertifikat und Schlüsselring gelöst. Falls das Zertifikat versehentlich aus dem Schlüsselring entfernt wurde, können Sie die Verbindung über RACF wiederherstellen. Wenn Sie möchten, dass das Zertifikat vollständig aus RACF gelöscht wird, wenden Sie sich an den RACF-Administrator.
Import und Export von Zertifikaten
Wenn ein Zertifikat in einen verwalteten SAF-Keystore importiert bzw. aus einem verwalteten SAF-Keystore exportiert wird und das Zertifikat in RACF bereits unter einer anderen Bezeichnung vorhanden ist, wird eine Verbindung zwischen dem Zertifikat und dem Schlüsselring mit der vorhandenen Bezeichnung erstellt, ganz gleich, welche Bezeichnung Sie dem Zertifikat im Import- oder Exportbefehl zuordnen.
Verlängern von Zertifikaten
Zertifikate werden nicht physisch aus RACF gelöscht. Die Zertifikatbezeichnung bleibt in RACF erhalten, sodass bei der Verlängerung eines Zertifikats an den Aliasnamen (die Bezeichnung) _1, _2 usw. angehängt wird.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7createSAF_keyring
Dateiname:tsec_7createSAF_keyring.html