![[z/OS]](../images/ngzos.gif)
Unterstützung von SAF-Schlüsselringen für Prüfsignaturen und -verschlüsselungen
Wenn Sie die Prüffunktion aktivieren, wird die Protokollierung sowohl in der Servantregion als auch in der Steuerregion durchgeführt. Verwendet die Prüffunktion ein Zertifikat für in SAF-Schlüsselringen gespeicherte Signaturen und Verschlüsselungen, müssen das Zertifikat und der SAF-Schlüsselring für die RACF-IDs der Servantregion und der Steuerregion zugänglich sein.
Zugriffsmöglichkeit auf das Zertifikat bestimmen
- Verwenden Sie die folgenden Befehle vom Typ RACDCERT LISTING, um die Zertifikate,
die einer bestimmten RACF-ID für einen bestimmten Schlüsselring zugeordnet sind,
und vergleichen Sie die Listen:
RACDCERT ID(RACF-ID_der_Steuerregion) LISTRING(Name_des_Schlüsselrings) RACDCERT ID(RACF-ID_der_Servantregion) LISTRING(Name_des_Schlüsselrings)
- RACF-ID_der_Steuerregion ist die RACF-ID der Steuerregion
- RACF-ID_der_Servantregion ist die RACF-ID der Servantregion
- Name_des_Schlüsselrings ist der angegebene Schlüsselring
- Listen Sie Informationen zu einem Zertifikat in RACF auf. Verwenden Sie
den folgenden RACDCERT-LIST-Befehl, und rufen Sie eine Liste der Schlüsselringe
und der RACF-IDs auf, die Zugriff auf das Zertifikat haben, und bestimmen Sie,
ob die aufgelisteten RACF-IDs der Servantregion und der Steuerregion aufgelistet sind:
RACDCERT LIST (LABEL('Zertifikatkennsatz')) CERTAUTH
RACDCERT ID(RACF-ID_der_Steuerregion) CONNECT (ID(RACF-ID_der_Steuerregion) LABEL('Zertifikatkennung') RING(Name_des_Schlüsselrings) DEFAULT)
Für die Prüfung muss ein Keystore-Objekt einem Schlüsselring in WebSphere Application Server zugeordnet werden. Wenn kein Keystore-Objekt und kein Schlüsselring zugeordnet sind, können Sie die Zuordnung über die Administrationskonsole oder mit dem wsadmin-Befehl CreateKeyStore erstellen. Weitere Informationen finden Sie in der Beschreibung der Keystore-Einstellungen oder der Befehlsgruppe KeyStoreCommands.
Zugriff auf beschreibbare SAF-Schlüsselringe
- eine schreibgeschützte Sicht für den Schlüsselring
- die Servantregionssicht des Schlüsselrings
- die Steuerregionssicht des Schlüsselrings
Wenn das Zertifikat von den Keystore-Objekten der Servantregion und der Steuerregion erkannt wird, können Sie es für Prüfsignaturen und -verschlüsselungen verwenden. Sie können das Keystore-Objekt über die Administrationskonsole oder mit dem Befehl listPersonalCertificates anzeigen. Weitere Informationen finden Sie in den Artikeln, die sich mit der Beschreibung des Zertifikatsmanagements in SSL oder der Befehlsgruppe PersonalCertificateCommands befassen.
Wenn Sie das Zertifikat in einem Keystore-Objekt sehen können, in einem anderen jedoch nicht, können Sie das fehlende Zertifikat in das andere Keystore-Objekt importieren. Beispielsweise müssten Sie das Zertifikat in das Keystore-Objekt der Servantregion importieren, wenn Sie es im Keystore-Objekt der Steuerregion sehen könnten, im Keystore-Objekt der Servantregion jedoch nicht. Sie können das Zertifikat über die Administrationskonsole oder mit dem Befehl importCertificate aus dem Keystore-Objekt der Steuerregion in das Keystore-Objekt der Servantregion importieren. Weitere Informationen finden Sie in der Beschreibung des Zertifikatimports oder der Befehlsgruppe PersonalCertificateCommands.
Weitere Informationen zu beschreibbaren SAF-Schlüsselringen finden Sie in der Beschreibung der Nutzung, Erstellung und Aktivierung beschreibbarer SAF-Schlüsselringe.
Zertifikat in SAF-Schlüsselringen zur Prüfung verwenden
Wenn das Zertifikat für die RACF-IDs der Servantregion und der Steuerregion, die dem SAF-Schlüsselring zugeordnet sind, zugänglich ist, können Sie das Zertifikat für Prüfsignaturen und -verschlüsselungen verwenden. Wenn Sie beschreibbare SAF-Schlüsselringe verwenden möchten, nutzen Sie das schreibgeschützte Keystore-Objekt mit der Prüfkonfiguration. Weitere Informationen zur Verwendung von Zertifikaten für Prüfsignaturen und -verschlüsselungen finden Sie in den Artikeln, die sich mit dem Schutz Ihrer Sicherheitsprüfungsdaten befassen.