[z/OS]

Soporte de conjunto de claves SAF para la firma y el cifrado de auditoría

Cuando se habilita la auditoría, el registro se produce tanto en las regiones de control como en las regiones sirviente. Cuando la auditoría utiliza un certificado para la firma y el cifrado que están almacenados en conjuntos de claves SAF, el certificado y el conjunto de claves SAF debe ser accesible para los ID de RACF de la región de control y de la región sirviente.

Determinación de la accesibilidad del certificado

Para determinar si un certificado es accesible para los ID de RACF de la región sirviente y de control, revise la información del conjunto de claves en RACF. Existen diversos métodos para determinar si un certificado es accesible. Realice uno de los procesos siguientes:
  • Utilice los siguientes mandatos RACDCERT LISTING para listar los certificados que están asociadas a un determinado ID de RACF para un conjunto de claves específicas y compare las listas:
    RACDCERT ID(CRRACFID)
    LISTRING(nombre_conjunto_claves)
    RACDCERT ID(SRRACFID)
    LISTRING(nombre_conjunto_claves)
    • CRRACFID es el ID de RACF de la región de control
    • SRRACFID es el ID de RACF la región sirviente
    • nombre_conjunto_claves es el conjunto de claves especificado
  • Liste la información sobre un certificado en RACF. Utilice el siguiente mandato RACDCERT LIST para obtener una lista de los conjuntos de claves y los ID de RACF que tienen acceso al certificado y determine si los ID de RACF de la región sirviente y la región de control se listan:
    RACDCERT LIST
    (LABEL('etiqueta_certificado')) CERTAUTH
Si el certificado es accesible para uno de los ID de RACF y no para el otro ID de RACF, puede utilizar el siguiente mandato RACDCERT CONNECT para conectar el certificado con el otro ID de RACF:
RACDCERT
ID(CRRACFID) CONNECT (ID(CRRACFID)
LABEL('etiqueta_certificado')
RING(nombre_conjunto_claves)
DEFAULT)

Para la auditoría, un objeto de almacén de claves debe estar asociado a un conjunto de claves en WebSphere Application Server. Si el objeto de almacén de claves y un conjunto de claves no están asociados, puede crear esta asociación en la consola administrativa o utilizar el mandato CreateKeyStore de wsadmin. Para obtener más información, consulte los valores del almacén de claves o el grupo de mandatos KeyStoreCommands.

Acceso a los conjuntos de claves SAF con permisos de escritura

Si habilita los conjuntos de claves SAF con permiso de escritura y el conjunto de claves tiene un objeto de configuración en WebSphere Application Server, puede utilizar la consola administrativa o la tarea wsadmin para verificar que el certificado es accesible para los ID de RACF de la región sirviente y la región de control. Normalmente, los tres objetos de almacenes de claves siguientes están asociados a un conjunto de claves SAF con permiso de escritura:
  • Una vista de sólo lectura para el conjunto de claves
  • La vista de la región sirviente del conjunto de claves
  • La vista de la región de control del conjunto de claves

Si el certificado lo ven los objetos de almacén de claves de la región sirviente y de la región de control, puede utilizar el certificado para la firma y el cifrado de auditoría. Puede mirar al objeto de almacén de claves mediante la consola administrativa o mediante el mandato listPersonalCertificates. Para obtener más información, consulte acerca de la gestión de certificados en SSL o el grupo de mandatos PersonalCertificateCommands.

Si puede ver el certificado en un objeto de almacén de claves, pero no puede verlo en otro objeto de almacén de claves, puede importar el certificado que falta en el otro objeto de almacén de claves. Por ejemplo, importe el certificado en el objeto de almacén de claves de la región sirviente si puede verlo en el objeto de almacén de claves de la región de control, pero no puede verlo en el objeto de almacén de claves de la región sirviente. Puede importar el certificado del objeto de almacén de claves de la región de control en el objeto de almacén de claves de la región sirviente utilizando la consola administrativa o el mandato importCertificate. Para obtener más información, consulte sobre cómo importar un certificado o el grupo de mandatos PersonalCertificateCommands.

Para obtener más información sobre conjuntos de claves SAF con permiso de escritura, lea sobre el uso, la creación y la habilitación de conjuntos de claves SAF con permiso de escritura.

Utilización de certificados en conjuntos de claves SAF para auditoría

Una vez que el certificado es accesible para los ID de RACF de la región sirviente y de la región de control del conjunto de claves SAF, puede utilizar el certificado para la firma y el cifrado de auditoría. Si utiliza conjuntos de claves SAF con permiso de escritura, utilice el objeto de almacén de claves de sólo lectura con la configuración de auditoría. Para obtener más información acerca de cómo utilizar certificados para la firma y el cifrado de auditoría, lea acerca de cómo proteger los datos de auditoría de seguridad.


Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safkeyringaudit
File name: csec_safkeyringaudit.html