[z/OS]

Creación de conjuntos de claves SAF con permisos de escritura

WebSphere permite que un administrador de WebSphere realice operaciones de gestión de certificados en conjuntos de claves SAF (System Authorization Facility) mediante las funciones de la biblioteca de datos OCSF (Open Cryptographic Services Facility) para conjuntos de claves SAF. Esta tarea crea nuevas configuraciones de conjuntos de claves y sus conjuntos de claves asociados.

Antes de empezar

El almacén de claves JCERACFKS se utiliza con el proveedor IBMJCE o el proveedor IBMJCECCA. Puede utilizar el almacén de claves JCERACFKS para los certificados y las claves que se gestionan y almacenan en RACF (Resource Access Control Facility). La referencia de vía de acceso de URI (Uniform Resource Identifier) para el almacén de claves JCERACFKS tiene el formato safkeyring:///su_nombre_conjunto_claves.
Atención: El tipo de almacén de claves JCERACFKS sólo está disponible en la plataforma z/OS.
Importante: Debe habilitar el soporte para los conjuntos de claves con permisos de escritura utilizando la herramienta de gestión de perfiles antes de generar los perfiles del servidor de aplicaciones. El soporte del conjunto de claves con permisos de escritura sólo se puede configurar al ejecutar z/OS Release 1.9 o en z/OS Release 1.8 con el APAR OA22287 - RACF (o el APAR del producto de seguridad equivalente de que disponga) y el APAR OA22295 – SAF.

Acerca de esta tarea

Complete los pasos siguientes en la consola administrativa:

Procedimiento

  1. Pulse Seguridad > Gestión de claves y certificados SSL. En Valores de configuración, pulse Gestionar configuraciones de seguridad de punto final > {Entrada | Salida} > configuración_ssl. En Elementos relacionados, pulse Almacenes de claves y certificados. A continuación, pulse el botón Nuevo.
  2. Escriba un nombre en el campo Nombre. Este nombre identifica de forma exclusiva el almacén de claves en la configuración.
  3. Escriba la ubicación del archivo de almacén de claves en el campo Vía de acceso. El URI debe contener safkeyring, por ejemplo, safkeyring:///su_nombre_conjunto_claves.
  4. Escriba la contraseña del almacén de claves en el campo Contraseña como "password". Para que sea compatible con el almacén de claves JCE, la contraseña de JCERACFKS es "password". La seguridad de este almacén de claves no se protege realmente mediante una contraseña, como ocurre con otros tipos de almacenes de claves, sino que se basa en la identidad de la hebra de ejecución para la protección con RACF. Esta contraseña es para el archivo de almacén de claves que ha especificado en el campo Vía de acceso.
  5. Seleccione JCERACFKS para el Tipo y complete el resto de campos según corresponda.
  6. Deseleccione el recuadro de selección Sólo lectura.
  7. Para el campo de usuario de la región de control, especifique el ID de usuario de la tarea iniciada en la región de control (ID de RACF) en la que se crea el conjunto de claves SAF de la región de control. El ID de usuario debe coincidir con el ID de RACF exacto utilizado por la región de control.
    Nota: Esta opción sólo se aplica al crear conjuntos de claves SAF con permiso de escritura en z/OS.
  8. Para el campo de usuario de la región sirviente, especifique el ID de usuario de la tarea iniciada en la región sirviente (ID de RACF) en la que se crea el conjunto de claves SAF de la región sirviente. El ID de usuario debe coincidir con el ID de RACF exacto utilizado por la región sirviente.
    Nota: Esta opción sólo se aplica al crear conjuntos de claves SAF con permiso de escritura en z/OS.
  9. Pulse Aceptar y luego Guardar para aplicar estos cambios a la configuración maestra.

Resultados

Un almacén de claves está ahora disponible para configurar conexiones SSL. Se crean dos objetos de almacén de claves adicionales a los que se puede acceder mediante la consola administrativa para realizar operaciones de grabación de certificados en el conjunto de claves apropiado. Los objetos de almacén de claves se denominan su_nombre_almacén_claves -CR y su_nombre_almacén_claves -SR, donde su_nombre_almacén es el nombre del almacén de claves especificado en el mandato de creación. su_nombre_almacén_claves -CR corresponde al conjunto de claves que es propiedad del ID de RACF del proceso de región de control y su_nombre_almacén_claves -SR corresponde al almacén de claves que es propiedad del ID de RACF del proceso de región sirviente. Estos almacenes de claves se crean en el mismo ámbito que su_nombre_almacén_claves y se puede acceder a ellos desde la consola administrativa en el panel de recopilación su_nombre_almacén_claves.

Qué hacer a continuación

Puede continuar protegiendo la comunicación entre el cliente y el servidor utilizando este archivo de almacén de claves cuando configure una configuración SSL. Adicionalmente, ahora puede realizar operaciones de gestión de certificados desde la consola administrativa o la infraestructura de tareas de mandatos en las configuraciones de almacén de claves con permisos de escritura generadas por este mandato.
Consideraciones sobre el conjunto de claves RACF
Supresión de certificados
Cuando se suprime un certificado de un conjunto de claves RACF, el certificado no se suprime de RACF. Sólo se desconecta del conjunto de claves. El certificado se puede volver a conectar mediante RACF si se elimina accidentalmente del conjunto de claves. Si desea que el certificado se suprima totalmente de RACF, debe eliminarlo el administrador RACF.
Importación y exportación de certificados
Durante la importación y la exportación de certificados a los almacenes de claves SAF y desde ellos, si el certificado ya existe en RACF con una etiqueta distinta, se conectará al conjunto de claves con la etiqueta existente, independientemente de la etiqueta que se asigne al certificado en el mandato de importación o exportación.
Renovación de certificados
Los certificados no se suprimen físicamente de RACF. La etiqueta de certificado existente se mantiene en RACF y la renovación de certificados prolongará el alias (la etiqueta) del certificado al añadir _1, _2, etc., a la etiqueta de certificado existente.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7createSAF_keyring
File name: tsec_7createSAF_keyring.html