[IBM i][AIX Solaris HP-UX Linux Windows]

Configuración de un almacén de claves criptográficas de hardware

Puede crear un almacén de claves criptográficas de hardware que WebSphere Application Server puede utilizar para proporcionar el soporte de señal criptográfica en la configuración del servidor.

Acerca de esta tarea

Nota: El acelerador de hardware no está soportado excepto en los siguientes casos:
  • Si utiliza WebSphere Application Server para z/OS y utiliza el proveedor de criptografía IBMJCECCA.
  • Si utiliza WebSphere Application Server Versión 7.0 y posteriores que se ejecutan en zLinux y utiliza el proveedor IBMPKCS11.

Complete los pasos siguientes en la consola administrativa:

Procedimiento

  1. Pulse Seguridad > Gestión de claves y certificados SSL > Almacenes de claves y certificados.
  2. Pulse Nuevo.
  3. Escriba un nombre para identificar el almacén de claves. Este nombre se utiliza para habilitar la criptografía de hardware en la configuración de la seguridad de servicios web.
  4. Opcionalmente, puede escribir una descripción para el almacén de claves en el campo Descripción.
  5. Puede especificar un Ámbito de gestión para el almacén de claves. Esta opción no es obligatoria. El ámbito de gestión especifica el ámbito donde la configuración de SSL (Secure Sockets Layer) está visible. Por ejemplo, si selecciona un nodo específico, entonces la configuración se puede ver únicamente en dicho nodo y en cualquier servidor que forme parte de dicho nodo.
  6. Escriba la vía de acceso del archivo de configuración específico del dispositivo de hardware. El archivo de configuración es un archivo de texto que contiene entradas con el formato siguiente: atributo = valor. Los valores válidos para el atributo y el valor se describen en detalle en la documentación del Software Developer Kit, Java™ Technology Edition. Los dos atributos obligatorios son name (nombre) y library (biblioteca), tal como se muestra en el código de ejemplo siguiente:
    name = FooAccelerator
    library = /opt/foo/lib/libpkcs11.so
    slotListIndex = 0
    El archivo de configuración también debe incluir datos de configuración específicos del dispositivo. Vaya al archivo PKCS11ImplConfigSamples.jar, que contiene archivos de configuración de ejemplo, bajo la cabecera "PKCS 11 Implementation Provider" en el sitio de tecnología Java: http://publib.boulder.ibm.com/infocenter/javasdk/v6r0/topic/com.ibm.java.security.component.60.doc/security-component/introduction.html.
    [AIX Solaris HP-UX Linux Windows][IBM i]Nota: JSSE2 no puede utilizar el proveedor IBMPKCS11Impl para la aceleración.
    1. Puede utilizar este enlace http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html para inicializar el proveedor IBMPKCS11 en una hebra de modo seguro.
    2. Especifique un archivo .cfg exclusivo que contiene información acerca del dispositivo de hardware soportado. Encontrará una lista de los dispositivos de hardware soportados en http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMPKCS11SupportList.html.
    3. Especifique el método Signature.getInstance con la instancia del proveedor IBMPKCS11Impl correctamente inicializada, como se muestra.
      Signature.getInstance("SHA1withRSA", ibmpkcs11implinstance);
  7. [AIX Solaris HP-UX Linux Windows][IBM i]Escriba una contraseña, si es necesario un inicio de sesión de señal. Las operaciones que utilizan las claves en la señal requieren un inicio de sesión seguro. Este campo es opcional si el almacén de claves se utiliza como acelerador criptográfico. En este caso, necesita seleccionar Habilitar operaciones criptográficas en dispositivo de hardware.
  8. [z/OS]Si el inicio de sesión de señal es necesario, escriba la contraseña del almacén de claves en el campo Contraseña.

    Las operaciones que utilizan las claves en la señal requieren un inicio de sesión seguro. Este campo es opcional si el almacén de claves se utiliza como acelerador criptográfico. En este caso, necesita seleccionar la opción Habilitar operaciones criptográficas en dispositivo de hardware.

    Para que sea compatible con el almacén de claves JCE en lo que respecta a la solicitud de contraseña, la contraseña de JCERACFKS es password. La seguridad de este almacén de claves no se protege realmente mediante una contraseña, como ocurre con otros tipos de almacenes de claves, sino que se basa en la identidad de la hebra de ejecución para la protección con RACF. Esta contraseña es para el archivo de almacén de claves que ha especificado en el campo Vía de acceso.

  9. Seleccione el tipo PKCS11.
  10. Seleccione Sólo lectura.
  11. Pulse Aceptar y Guardar.

Resultados

Ahora WebSphere Application Server puede proporcionar el soporte de señal criptográfica en la configuración del servidor.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfhwcrypkeystore
File name: tsec_sslconfhwcrypkeystore.html