[z/OS]

Configuración del conjunto de claves de certificado raíz

WebSphere Application Server permite que un administrador de WebSphere Application Server realice operaciones de gestión de certificados en conjuntos de claves SAF (System Authorization Facility) mediante las funciones de la biblioteca de datos OCSF (Open Cryptographic Services Facility) para conjuntos de claves SAF. Esta tarea configura el conjunto de claves de certificado raíz.

Antes de empezar

Debe habilitar el soporte para los conjuntos de claves con permisos de escritura utilizando la herramienta de gestión de perfiles antes de generar los perfiles del servidor de aplicaciones. El soporte del conjunto de claves con permiso de escritura sólo se puede configurar al ejecutar z/OS Release 1.9 o en z/OS Release 1.8 con APAR OA22287 - RACF (Resource Access Control Facility), o el APAR del producto de seguridad equivalente, y el APAR OA22295 – SAF.

Acerca de esta tarea

El certificado CA (entidad emisora de certificados) raíz se utiliza para firmar otros certificados para WebSphere Application Server. De manera predeterminada, durante la gestión de perfiles el conjunto de claves raíz predeterminado (NodeDefaultRootStore o DmgrDefaultRootStore para un gestor de despliegue) y el certificado CA raíz se configuran automáticamente. Alternativamente, si migra desde una instalación de WebSphere Application Server anterior, puede configurar el conjunto de claves raíz para un objeto de almacén de claves utilizando los pasos siguientes.

Procedimiento

  1. Cree un conjunto de claves para el ID de RACF de la región de control del servidor. Por ejemplo, si su servidor se ejecuta con un ID de usuario RACF llamado CRRACFID, emita el mandato siguiente:
    RACDCERT ADDRING(keyring_name.Root) ID(CRRACFID)
    CRRACFID es el ID de RACF para la región de control del servidor de aplicaciones. keyring_name es el nombre del conjunto de claves z/OS utilizado por los servidores de la célula.
  2. Para crear certificados encadenados con el certificado CA raíz, el conjunto de claves creado en el paso (1) debe incluir el certificado CA de clave pública/privada generado para la instalación de WebSphere Application Server. Para conectar el certificado, debe completar los pasos siguientes:

    Determine el nombre de etiqueta del certificado CA raíz para la instalación y emita el mandato siguiente:

    RACDCERT ID(CRRACFID) CONNECT (RING(keyring_name.Root) LABEL('rootcalabel') CERTAUTH USAGE(PERSONAL))
    CRRACFID es el ID de RACF para la región de control del servidor de aplicaciones. keyring_name es el nombre del conjunto de claves z/OS utilizado por los servidores de la célula. rootcalabel es el certificado CA raíz
  3. Modifique NodeDefaultRootStore (DmgrDefaultRootStore para el gestor de despliegue) de forma que apunte al conjunto de claves creado en el paso (1).
    1. Pulse Seguridad > Gestión de claves y certificados SSL > Almacenes de claves y certificados.
    2. Seleccione Almacén de claves de certificado raíz en Usos de almacén de claves.
    3. Seleccione NodeDefaultRootStore (o DmgrDefaultRootStore para el gestor de despliegue).
    4. En Propiedades generales
      1. Modifique la vía de acceso
        safkeyring://CRRACFID/keyring_name.Root

        CRRACFID es el ID de RACF para la región de control del servidor de aplicaciones. keyring_name es el nombre del conjunto de claves z/OS utilizado por los servidores de la célula.

      2. Cambie el tipo por JCERACFKS
      3. Escriba la contraseña, contraseña.
    5. Pulse Aplicar.

Resultados

Tras completar estos pasos, se creará un nuevo conjunto de claves z/OS que contenga el certificado CA raíz adjunto al uso personal.

Qué hacer a continuación

Compruebe que el almacén de claves se haya modificado correctamente.
  1. En Propiedades adicionales, en el panel de recopilación de almacenes de claves, pulse Certificados personales.
  2. Compruebe que el certificado aparece en la lista.
Condiciones de error conocidas
  • Al intentar crear un nuevo conjunto de claves, puede aparecer el siguiente mensaje de error:
    Error R_datalib (IRRSDL00): No
    se han podido completar una o más actualizaciones.
    El
    código_de_función solicitado no se ha definido.
    Código de función: (7)
    Códigos de retorno: (8, 8, 20)
    Este mensaje indica que ha intentado crear un nuevo conjunto de claves y no tenía instalado el soporte con permisos de escritura nativo. Debe ejecutar z/OS Release 1.9 o 1.8 con OA22287 y OA22295 de APAR.
  • El siguiente mensaje puede aparecer al intentar realizar operaciones de grabación en un conjunto de claves SAF, operaciones como la creación o supresión de un certificado:
    Mensaje
    de error: Se ha producido un error al crear el almacén de claves: error
    R_datalib (IRRSDL00): No se han podido completar una o más
    actualizaciones. 
    No
    hay ningún RACF autorizado para utilizar el servicio solicitado. Código de función: (7) Códigos de retorno: (8, 8, 8)
    Recibirá este mensaje si no ha definido la autoridad RACF correcta. Consulte el documento Defining RACF authority for Clients and Servers en la biblioteca de Internet de z/OS http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/.
  • El siguiente mensaje puede aparecer al realizar operaciones de grabación si el conjunto de claves subyacente no existe en RACF.
    Error R_datalib (IRRSDL00): no se ha encontrado el perfil del conjunto (8, 8, 84)
    Asegúrese de que el conjunto de claves exista en RACF antes de realizar operaciones de grabación de gestión de certificados.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7configureSAF_keyring
File name: tsec_7configureSAF_keyring.html