[z/OS]

Création de jeux de clés SAF inscriptibles

WebSphere propose une fonction permettant à un administrateur WebSphere d'effectuer des opérations de gestion des certificats sur des jeux de clés SAF (System Authorization Facility) à l'aide des fonctions de bibliothèque de données OCSF (Open Cryptographic Services Facility) pour les fichiers de clés SAF. Cette tâche crée des configurations de fichier de clés et les jeux de clés associés.

Avant de commencer

Le magasin de clés JCERACFKS est utilisé avec le fournisseur IBMJCE ou IBMJCECCA. Vous pouvez utiliser le fichier de clés JCERACFKS pour les certificats et les clés gérés et stockés par la fonction RACF. La référence du chemin URI pour le fichier de clés JCERACFKS se présente sous la forme safkeyring:nom_votre_jeudeclés.
Avertissement : Le type de fichier de clés JCERACFKS est disponible uniquement sur la plateforme z/OS.
Important : Vous devez activer la prise en charge des jeux de clés inscriptibles à l'aide de l'outil de gestion des profils avant de générer les profils du serveur d'applications. La prise en charge des jeux de clés inscriptibles peut être configurée uniquement lorsque vous travaillez sous z/OS version 1.9 ou z/OS version 1.8 avec l'APAR OA22287 - RACF (ou l'APAR pour votre produit de sécurité équivalent) et l'APAR OA22295 – SAF.

Pourquoi et quand exécuter cette tâche

Procédez comme suit dans la console d'administration :

Procédure

  1. Cliquez sur Sécurité > Certificat SSL et gestion des clés. Sous Paramètres de configuration, cliquez sur Gérer les configurations de sécurité des noeuds finals > {Communication entrante | Communication sortante} > configuration_SSL. Sous Articles liés, cliquez sur Magasins de clés et certificats. Ensuite, cliquez sur le bouton Nouveau.
  2. Entrez un nom dans le champ Nom. Ce nom identifie de manière unique le magasin de clés dans la configuration.
  3. Entrez l'emplacement du fichier de magasin de clés dans le champ Chemin. L'URI doit contenir safkeyring, par exemple, safkeyring:nom_votre_jeudeclés.
  4. Entrez le mot de passe "password" du fichier de clés dans la zone Mot de passe. Pour être compatible avec le fichier de clés JCE en termes de mot de passe, le mot de passe JCERACFKS est "password". La sécurité de ce fichier de clés n'est pas réellement protégée par mot de passe comme les autres types de fichier de clés, mais plutôt basée sur l'identité de l'unité d'exécution en cours pour la protection avec RACF. Ce mot de passe s'applique au fichier de magasin de clés spécifié dans le champ Chemin.
  5. Sélectionnez JCERACFKS pour le Type et remplissez le reste des zones si nécessaire.
  6. Désélectionnez la case Lecture seule.
  7. Dans la zone Utilisateur de région de contrôle, spécifiez l'ID utilisateur de la tâche démarrée par la région de contrôle (ID RACF) sous lequel le jeu de clés SAF de la région de contrôle est créé. L'ID utilisateur doit correspondre à l'ID RACF exact utilisé par la région de contrôle.
    Remarque : Cette option s'applique uniquement lors de la création de jeux de clés SAF inscriptibles sur z/OS.
  8. Dans la zone Utilisateur de région serviteur, spécifiez l'ID utilisateur de la tâche démarrée par la région serviteur (ID RACF) sous lequel le jeu de clés SAF de la région serviteur est créé. L'ID utilisateur doit correspondre à l'ID RACF exact utilisé par la région serviteur.
    Remarque : Cette option s'applique uniquement lors de la création de jeux de clés SAF inscriptibles sur z/OS.
  9. Cliquez sur OK puis sur Sauvegarde pour appliquer ces modifications à la configuration principale.

Résultats

Un magasin de clés est maintenant disponible pour configurer les connexions SSL. Deux objets de fichier de clés supplémentaires sont créés. La console d'administration peut y accéder pour effectuer des opérations d'écriture de certificat sur le jeu de clés approprié. Les objets de fichier de clés sont nommés nom_votre_fichierdeclés -CR et nom_votre_fichierdeclés -SR, où nom_votre_fichierdeclés est le nom du fichier de clés spécifié dans la commande de création. your_keystore_name -CR correspond au jeu de clés détenu par l'ID RACF du processus de région de contrôle et your_keystore_name -SR correspond au fichier de clés détenu par l'ID RACF du processus de région serviteur. Ces fichiers de clés sont créés dans la même portée que nom_votre_fichierdeclés et la console d'administration peut y accéder à partir du panneau de la collection nom_votre_fichierdeclés.

Que faire ensuite

Vous pouvez continuer à sécuriser la communication entre le client et le serveur en utilisant ce fichier de magasin de clés lors du réglage de la configuration SSL. De plus, vous pouvez désormais effectuer des opérations de gestion de certificat à partir de la console d'administration ou du canevas de tâches de commande dans les configurations de fichier de clés inscriptible générées par cette commande.
Configuration de fichier de clés RACF
Suppression de certificat
Lorsqu'un certificat est supprimé d'un fichier de clés RACP, le certificat n'est pas supprimé de RACF. Il est seulement déconnecté du fichier de clés. Le certificat peut être reconnecté par RACF s'il a été supprimé accidentellement du fichier de clés. Si vous souhaitez supprimer totalement le certificat de RACF, il doit être retiré par l'administrateur RACF.
Importer et exporter les certificats
Pendant l'importation et l'exportation des certificats vers et depuis des magasins de clés SAF gérés, si le certificat existe déjà dans RACF sous un autre libellé, il sera connecté au fichier de clés avec le libellé existant quel que soit le libellé que vous attribuez au certificat sur la commande d'importation ou d'exportation.
Examen de certificats
Les certificats ne sont pas supprimés physiquement de RACF. Le libellé de certificat existant existe toujours dans RACF et l'examen de certificats incrémentera l'alias (libellé) du certificat en ajout _1, _2, etc., au libellé de certificat existant.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7createSAF_keyring
Nom du fichier : tsec_7createSAF_keyring.html