Puede crear un almacén de claves criptográficas de hardware que
WebSphere
Application Server puede utilizar para proporcionar el soporte de señal criptográfica
en la configuración del servidor.
Acerca de esta tarea
Nota: El acelerador de hardware no está soportado excepto en los siguientes casos:
- Si utiliza WebSphere Application
Server para z/OS y utiliza el proveedor de criptografía IBMJCECCA.
- Si utiliza WebSphere Application Server Versión 7.0 y posteriores que se ejecutan en zLinux y utiliza el proveedor IBMPKCS11.
Complete los pasos siguientes en la consola administrativa:
Procedimiento
- Pulse Seguridad > Gestión de claves y certificados SSL >
Almacenes de claves y certificados.
- Pulse Nuevo.
- Escriba un nombre para identificar el almacén de claves. Este nombre se utiliza para habilitar la criptografía de hardware en la configuración de la seguridad
de servicios web.
- Opcionalmente, puede escribir una descripción para el almacén de claves en el campo Descripción.
- Puede especificar un Ámbito de gestión para el almacén de claves.
Esta opción no es obligatoria. El ámbito de gestión especifica el ámbito donde la configuración de SSL (Secure
Sockets Layer) está visible.
Por ejemplo, si selecciona un nodo específico, entonces la configuración se puede ver únicamente en dicho nodo y en cualquier servidor que forme parte de dicho nodo.
- Escriba la vía de acceso del archivo de configuración específico del dispositivo de hardware. El archivo de configuración es un archivo de texto que contiene entradas
con el formato siguiente: atributo = valor.
Los valores válidos para el atributo y el valor se describen en detalle en la documentación del Software Developer Kit, Java™ Technology Edition. Los dos atributos obligatorios son name (nombre) y library (biblioteca), tal como se muestra en el código de ejemplo siguiente:
name = FooAccelerator
library = /opt/foo/lib/libpkcs11.so
slotListIndex = 0
El archivo de configuración también debe incluir datos de configuración específicos del dispositivo. Vaya al archivo PKCS11ImplConfigSamples.jar, que contiene archivos de configuración de ejemplo, bajo la cabecera
"PKCS 11 Implementation Provider" en el sitio de tecnología Java: http://publib.boulder.ibm.com/infocenter/javasdk/v6r0/topic/com.ibm.java.security.component.60.doc/security-component/introduction.html.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Escriba una contraseña, si es necesario un inicio de sesión de señal. Las operaciones que utilizan las claves en la señal requieren un inicio de sesión seguro. Este campo es opcional si el almacén de claves se utiliza como acelerador criptográfico. En este caso, necesita seleccionar Habilitar operaciones criptográficas en dispositivo de hardware.
Si el inicio de sesión de señal es necesario, escriba la contraseña del almacén de claves en el campo Contraseña. Las operaciones que utilizan las claves en la señal requieren un inicio de sesión seguro. Este campo es opcional si el almacén de claves se utiliza como acelerador criptográfico.
En este caso, necesita seleccionar la opción Habilitar operaciones criptográficas en
dispositivo de hardware.
Para que sea compatible con el almacén de claves JCE en lo que respecta a la solicitud de contraseña, la contraseña de
JCERACFKS es password. La seguridad de este almacén de claves
no se protege realmente mediante una contraseña, como ocurre
con otros tipos de almacenes de claves, sino que se basa en la
identidad de la hebra de ejecución para la protección con
RACF. Esta contraseña es para el archivo de almacén de claves que ha especificado en el campo Vía de acceso.
- Seleccione el tipo PKCS11.
- Seleccione Sólo lectura.
- Pulse Aceptar y Guardar.
Resultados
Ahora
WebSphere
Application Server puede proporcionar el soporte de señal criptográfica en la
configuración del servidor.