[z/OS]

Habilitación de conjuntos de claves SAF con permisos de escritura

WebSphere Application Server permite que un administrador de WebSphere Application Server realice operaciones de gestión de certificados en conjuntos de claves SAF (System Authorization Facility) mediante las funciones de la biblioteca de datos OCSF (Open Cryptographic Services Facility) para conjuntos de claves SAF. Esta tarea migra las configuraciones existentes y habilita los conjuntos de claves SAF con permisos de escritura.

Antes de empezar

Esta tarea se utiliza para migrar objetos del almacén de claves que no se han habilitado para el soporte de grabación mediante la creación de perfiles. El soporte del conjunto de claves con permiso de escritura sólo se puede configurar al ejecutar z/OS Release 1.9 o en z/OS Release 1.8 con APAR OA22287 - RACF (Resource Access Control Facility), o el APAR del producto de seguridad equivalente, y el APAR OA22295 – SAF.

Antes de iniciar esta tarea, la herramienta wsadmin debe estar ejecutándose. Consulte la información sobre cómo iniciar el cliente de scripts wsadmin.

Acerca de esta tarea

De manera predeterminada, si el soporte del conjunto de claves con permisos de escritura está habilitado durante la gestión de perfiles, las configuraciones de almacén de claves por omisión se habilitarán para los conjuntos de claves con permisos de escritura. Alternativamente, si migra desde una instalación de WebSphere Application Server anterior, puede habilitar conjuntos de claves con permisos de escritura para un objeto de almacén de claves utilizando los pasos siguientes.

AdminTask se puede utilizar en modalidad interactiva y en modalidad de proceso por lotes. Para la automatización, se deberán utilizar las opciones de modalidad de proceso por lotes. La modalidad de proceso por lotes de AdminTask se puede llamar en un script JACL o Jython. La modalidad interactiva le guía a través de todos los parámetros que la tarea necesita; los que son necesarios están marcados con un "*". Antes de que AdminTask ejecute la tarea, repite la sintaxis de modalidad de proceso por lotes de la tarea en la pantalla. Esto puede ser útil cuando se graban scripts de modalidad de proceso por lotes para la automatización.

Los siguientes atributos son necesarios para crear objetos de almacén de claves de conjuntos de claves SAF con permisos de escritura:
  • keyStoreName
  • controlRegionUser
  • servantRegionUser

El procedimiento de la modalidad interactiva para habilitar conjuntos de claves SAF con permisos de escritura es el siguiente:

Procedimiento

  1. Utilice la modalidad interactiva para pasar por todos los atributos, así como los valores predeterminados de los atributos si lo desea.
    El valor predeterminado está entre los caracteres "[]" en la línea de solicitud. El distintivo real utilizado en la modalidad de proceso por lotes es "()" en cada línea de solicitud. Si está utilizando el valor predeterminado, el distintivo no se mostrará en la línea de mandatos de proceso por lotes.
    • Utilizando Jacl:
      $AdminTask enableWritableKeyrings -interactive
    • En Jython:
      AdminTask.enableWritableKeyings ('[interactive]')
  2. A continuación, se muestra un ejemplo del resultado del paso (1):
    *Nombre
    del almacén de claves (keyStoreName): NodeDefaultKeyStore
    Nombre de ámbito de gestión (scopeName):
    *ID de usuario de la región de control para z/OS (SAF)
    (controlRegionUser): CRRACFID
    *ID de usuario de la región sirviente para z/OS (SAF)
    (servantRegionUser): SRRACFID
    
    Modifique el almacén de claves para el soporte SAF con permisos de
    escritura
    
    F (Finalizar)
    C (Cancelar)
    
    Seleccione [F, C]: [F] F
    WASX7278I: Línea de mandatos generada: $AdminTask enableWritableKeyrings {-keyStoreName NodeDefaultKeyStore 
    -controlRegionUser CRRACFID -servantRegionUser SRRACFID })

Resultados

Se crean dos objetos de almacén de claves adicionales a los que se puede acceder mediante la consola administrativa para realizar operaciones de certificado en el conjunto de claves apropiado. Los objetos de almacén de claves se denominan su_nombre_almacén_claves -CR y su_nombre_almacén_claves -SR, donde su_nombre_almacén_claves es el nombre del almacén de claves especificado en el mandato de creación.

su_nombre_almacén_claves -CR corresponde al conjunto de claves que es propiedad del ID de RACF del proceso de región de control y su_nombre_almacén_claves -SR corresponde al almacén de claves que es propiedad del ID de RACF del proceso de región sirviente.

Estos almacenes de claves se crean en el mismo ámbito que su_nombre_almacén_claves y se puede acceder a ellos mediante la consola administrativa en el panel de recopilación su_nombre_almacén_claves.

Qué hacer a continuación

Acceso a los conjuntos de claves SAF con permisos de escritura:
  1. Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar configuraciones de seguridad de punto final > {Entrada | Salida} > configuración_ssl > Almacenes de claves y certificados > [almacén_claves ].
  2. En Conjuntos de claves SAF con permisos de escritura, pulse Conjunto de claves de región de control o Conjunto de claves de región sirviente para visualizar el panel de recopilación de almacenes de claves para el conjunto de claves de región de control o el conjunto de claves de región sirviente respectivamente.
  3. En Propiedades adicionales, desplácese a los paneles de recopilación de certificados para realizar operaciones de gestión de certificados.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7enableSAF_keyring
File name: tsec_7enableSAF_keyring.html