[z/OS]

Utilización la criptografía de hardware para z/OS aprovechando los almacenes de claves ICSF y RACF

Integrated Cryptographic Service Facility (ICSF) es el software en un sistema z/OS que sirve de interfaz con el hardware donde se pueden almacenar las claves. Los almacenes de claves IBMJCECCARACFKS gestionan certificados y claves gestionados en Resource Access Control Facility (RACF). Los certificados se almacenan en RACF, pero puede restaurar claves en ICSF o RACF. El almacén de claves IBMJCECCARACFKS permitirá la explotación criptográfica de hardware como, por ejemplo, el cifrado, el descifrado y la firma, independientemente de si las claves están almacenadas en RACF o en ICSF.

Antes de empezar

Antes de iniciar esta tarea, debería familiarizarse con el contenido del tema Soporte de dispositivo criptográfico de hardware para Web Services Security.

Asimismo:
  • Asegúrese de que la configuración necesaria para colocar los certificados en RACF se haya completado. Consulte el Information Center de z/OS para la versión de z/OS que se ejecuta en su sistema, para obtener información sobre cómo colocar su certificado en RACF
  • Conozca los permisos de acceso CSFSERV necesarios para los servicios ICSF que utiliza el proveedor IBMJCECCA. Consulte el documento Standard Edition, la visión general de Hardware Cryptography IBMJCECCA para obtener información sobre estos permisos de acceso. Este documento se encuentra en http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html
  • Asegúrese de que ICSF se esté ejecutando.
Nota: El tipo de almacén de claves JCECCARACFKS, sólo está disponible en la plataforma z/OS.

Acerca de esta tarea

El almacén de claves JCECCAKS se utiliza para las claves que gestiona y almacena directamente en ICSF y requiere que incluya el proveedor IBMJCECCA en la lista de proveedores especificada en el archivo java.security.

El almacén de claves JCECCARACFKS se utiliza para los certificados y las claves que gestiona en RACF. Los certificados se almacenan en RACF, y puede almacenar las claves en RACF o ICSF. El uso del tipo de almacén de claves JCECCARACFKS requiere que incluya el proveedor IBMJCECCA en la lista de proveedores especificada en el archivo java.security. Puede utilizar la explotación criptográfica de hardware para aumentar el rendimiento aunque las claves no estén almacenadas en el hardware.

El almacén de claves JCERACFKS se utiliza con el proveedor IBMJCE o el proveedor IBMJCECCA. Puede utilizar el almacén de claves JCERACFKS para los certificados y las claves que se gestionan y almacenan en RACF. Puede utilizar la explotación criptográfica de hardware para aumentar el rendimiento cuando utiliza el proveedor IBMJCECCA. La referencia de vía de acceso de URI para el almacén de claves JCERACFKS tiene el formato safkeyring:///nombre_conjunto_claves.

Nota: Si la clave se va a almacenar en el hardware, la generación de nuevas claves en RACF requiere el uso de la opción ICSF.

Procedimiento

  1. Inicie los servicios ICSF necesarios. Consulte la documentación JAVA y ICSF para obtener más información.
  2. Localice el archivo de seguridad java WAS_HOME/AppServer/properties. El archivo de seguridad Java es un enlace simbólico a un archivo de seguridad java en SMP/E HFS. Suprima el enlace simbólico de archivo de seguridad Java y copie el archivo java.security de SMP/E HFS a WAS_HOME/AppServer/properties para que se pueda editar. En el archivo java.security, elimine el proveedor IBMJCECCA siguiente de la lista de proveedores:
    security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
  3. Vuelva a numerar los restantes proveedores en la lista de proveedores.
  4. Vaya a Seguridad > Gestión de claves y certificados SSL > Almacenes de claves y certificados.
  5. Pulse Nuevo para crear un almacén de claves nuevo.
  6. Añada la vía de acceso de directorios al almacén de claves. El URI debe contener safkeyringhw, en lugar de safkeyring, por ejemplo: safkeyringhw:///su_nombre_conjunto_claves.
  7. Seleccione JCECCARACFKS para el Tipo y complete el resto de campos según corresponda.

    Si es necesario el inicio de sesión de señal escriba la password (contraseña) del almacén de claves en el campo Contraseña.

    Para que sea compatible con el almacén de claves JCE en lo que respecta a la solicitud de contraseña, la contraseña de JCERACFKS es password. La seguridad de este almacén de claves no se protege realmente mediante una contraseña, como ocurre con otros tipos de almacenes de claves, sino que se basa en la identidad de la hebra de ejecución para la protección con RACF. Esta contraseña es para el archivo de almacén de claves que ha especificado en el campo Vía de acceso.

    Las operaciones que utilizan las claves en la señal requieren un inicio de sesión seguro. Este campo es opcional si el almacén de claves se utiliza como acelerador criptográfico. En este caso, debe seleccionar la opción Habilitar operaciones criptográficas en dispositivo de hardware.

  8. Pulse Aceptar y luego Guardar para aplicar estos cambios a la configuración maestra.

    Es posible que tenga que reiniciar los servidores para que estos cambios entren en vigor.

Resultados

Un almacén de claves está ahora disponible para configurar conexiones SSL.

Qué hacer a continuación

Puede continuar protegiendo la comunicación entre el cliente y el servidor utilizando este archivo de almacén de claves cuando configure una configuración SSL.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_storecertkeysICSF
File name: tsec_storecertkeysICSF.html