![[z/OS]](../images/ngzos.gif)
Configuración del conjunto de claves RACF
Utilización de Java para crear una corriente RACFInputStream para un almacén de claves RACF
Durante el proceso de autenticación SSL, WebSphere Application Server tiene en cuenta un certificado que se conecta como un certificado PERSONAL de una KeyEntry. Puede utilizar el certificado como un certificado de usuario final en el reconocimiento de comunicación SSL (Secure Sockets Layer) porque la clave privada está disponible.
WebSphere Application Server tiene en cuenta un certificado que se conecta como un certificado CERTAUTH de una TrustedCertEntry y trata el certificado como una autoridad de certificación CA. Los conjuntos de claves requieren certificados que se conectan como certificados PERSONAL y CA que se conectan como CERTAUTH. Los certificados que se conectan como SITE no tienen soporte en este release.
Nombre etiqueta cert Prop cert USO PREDET
---------------------- ---------- -------- -------
PersonalEndUserCert ID(USERID) PERSONAL Sí
PersonalEndUserCACert CERTAUTH CERTAUTH No
security.provider.X=com.ibm.security.cert.IBMCertPath
Si no se carga uno de los certificados RACF, no se carga el almacén de claves. Debe suprimir los certificados que no desee del conjunto de claves.
RACFInputStream contiene tres parámetros:- ID_usuario: una serie que contiene el ID del usuario propietario del conjunto de claves
- ID_conjunto_claves: una serie que contiene el nombre del conjunto de claves RACF
- contraseña: una matriz de caracteres que contiene la contraseña del almacén de claves
import com.ibm.crypto.provider.RACFInputStream;
String ksfname;
char[] storePass = null;
RACFInputStream riStream = new RACFInputStream(System.getProperty("user.name"),
ksfname,
storePass);
KeyStore racfKeyStore = KeyStore.getInstance("JCERACFKS");
racfKeyStore.load(riStream, storePass);
riStream.close();
En el ejemplo anterior, se hace referencia a la propiedad del sistema nombre.usuario para proporcionar el ID de usuario que WebSphere Application Server pasa a RACF. Este ejemplo no es típico. Para obtener más información sobre cómo ejecutar el script RACFInputStream, consulte el documento z/OS Unique Considerations for the Java 2 SDK, Standard Edition, v 6.0. Se proporciona un enlace para este documento z/OS en la sección Enlaces relacionados de este tema.
Acceso a RACFInputStream mediante URLStreamHandler
En este release, puede acceder a los datos por medio de las clases definidas por el usuario con el objeto URLStreamHandler. WebSphere Application Server puede definir las clases que acceden a los datos con la propiedad del sistema java.protocol.handler.pkgs. Para acceder a los datos que residen en un conjunto de claves SAF (Service Authorization Facility) RACF, utilice el URL safkeyring con las clases asociadas.-Djava.protocol.handler.pkgs
Si utiliza el proveedor IBMJCE (IBM® Java Cryptography Extension)
para proporcionar soporte criptográfico, establezca la propiedad en los valores
siguientes:-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
Si utiliza el proveedor IBMJCE4758 para proporcionar soporte criptográfico, establezca la propiedad en el valor siguiente:-Djava.protocol.handler.pkgs=com.ibm.crypto.hdwrCCA.provider
Puede utilizar un URL para especificar un manejador de corriente en el archivo java.policy.
El programa de utilidad jarsigner también acepta un URL para el parámetro -keystore.
Cuando los certificados de un conjunto de claves RACF verifican los archivos jar firmados, puede especificar que WebSphere Application
Server debe utilizar el conjunto de claves como una corriente de entrada en el almacén de claves del archivo java.policy, como se muestra en el código de ejemplo: keystore "safkeyring://myracfid/my_key_ring", " JCERACFKS";
En este ejemplo, - safkeyring es la palabra clave de URL que utiliza el servidor para acceder al código URLStreamHandler para leer los datos del conjunto de claves
- myracfid es el ID de usuario RACF que tiene autorización para leer datos del conjunto de claves
- mi_conjunto_claves es el nombre del conjunto de claves del que se leen los datos
- JCERACFKS es el tipo de almacén de claves definido para un almacén de claves del conjunto de claves SAF (RACF)
jarsigner -keystore safkeyring://myracfid/my_key_ring -signedjar
ibmjceproviders.jar ibmjceprovider.jar ibmprovider -storetype JCERACFKS
- z/OS SecureWay Security Server RACF Security Administrator's Guide - SA22-7683
- z/OS SecureWay Security Server RACF Command Language Reference - SA22-7687