[IBM i][AIX Solaris HP-UX Linux Windows]

Configuration d'un fichier de clés cryptographiques matérielles

Vous pouvez créer un fichier de clés cryptographiques matérielles que WebSphere Application Server peut utiliser pour prendre en charge les jetons cryptographiques dans la configuration du serveur.

Pourquoi et quand exécuter cette tâche

Remarque : L'accélérateur matériel n'est pas pris en charge, sauf dans les cas suivants :
  • Si vous utilisez WebSphere Application Server for z/OS et le fournisseur de cryptographie IBMJCECCA.
  • Si vous utilisez WebSphere Application Server version 7.0 ou ultérieure sous zLinux et utilisez le fournisseur IBMPKCS11.

Procédez comme suit dans la console d'administration :

Procédure

  1. Cliquez sur Sécurité > Gestion des certificats SSL et des clés > Magasins de clés et certificats.
  2. Cliquez sur Nouveau.
  3. Entrez un nom pour identifier le fichier de clés. Ce nom est utilisé pour activer la cryptographie matérielle dans la configuration de sécurité des services Web.
  4. Vous pouvez également taper une description du fichier de clés dans la zone Description.
  5. Vous pouvez indiquer une portée de la gestion pour le fichier de clés. Mais cela n'est pas obligatoire. La portée de la gestion indique la portée où cette configuration SSL (Secure Sockets Layer) est visible. Par exemple, si vous choisissez un noeud spécifique, alors la configuration sera uniquement visible sur ce noeud et sur tous les serveurs qui font partie de ce noeud.
  6. Entrez le chemin d'accès au fichier de configuration propre au périphérique matériel. Le fichier de configuration est un fichier texte contenant des entrées au format suivant : attribut = valeur. Les valeurs valides de l'attribut et de la valeur sont décrites en détail dans la documentation du kit SDK (Software Developer Kit), Java™ Technology Edition. Les deux attributs obligatoires sont name et library, comme illustré dans l'exemple de code suivant :
    name = FooAccelerator
    library = /opt/foo/lib/libpkcs11.so
    slotListIndex = 0
    Le fichier de configuration doit également contenir des données de configurations spécifiques au périphérique. Accédez au fichier PKCS11ImplConfigSamples.jar, lequel contient des exemples de fichier de configuration, sous l'en-tête "PKCS 11 Implementation Provider" du site Java Technology à l'adresse : http://publib.boulder.ibm.com/infocenter/javasdk/v6r0/topic/com.ibm.java.security.component.60.doc/security-component/introduction.html.
    [AIX Solaris HP-UX Linux Windows][IBM i]Remarque : JSSE2 ne peut pas utiliser le fournisseur IBMPKCS11Impl pour l'accélération.
    1. Vous pouvez utiliser ce lien http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html pour initialiser le fournisseur IBMPKCS11 de façon sécurisée dans une unité d'exécution
    2. Spécifiez un fichier .cfg unique contenant des informations relatives au périphérique matériel pris en charge. Une liste des périphériques matériels pris en charge est disponible à l'adresse http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMPKCS11SupportList.html.
    3. Spécifiez la méthode Signature.getInstance avec l'instance du fournisseur IBMPKCS11Impl correctement initialisé comme indiqué.
      Signature.getInstance("SHA1withRSA", ibmpkcs11implinstance);
  7. [AIX Solaris HP-UX Linux Windows][IBM i]Entrez un mot de passe si la connexion par jeton est requise. Les opérations qui utilisent des clés sur le jeton requièrent une connexion sécurisée. Cette zone est facultative si le fichier de clés est utilisé comme accélérateur cryptographique. Dans ce cas, vous devez sélectionner Activer les opérations cryptographiques sur le périphérique matériel.
  8. [z/OS]Si la connexion par jeton est requise, entrez le mot de passe du fichier de clés dans la zone Mot de passe.

    Les opérations qui utilisent des clés sur le jeton requièrent une connexion sécurisée. Cette zone est facultative si le fichier de clés est utilisé comme accélérateur cryptographique. Dans ce cas, vous devez sélectionner l'option Activer les opérations cryptographiques sur le périphérique matériel.

    Pour être compatible avec le fichier de clés JCE en termes de mot de passe, le mot de passe JCERACFKS est mot de passe. La sécurité de ce fichier de clés n'est pas réellement protégée par mot de passe comme les autres types de fichier de clés, mais plutôt basée sur l'identité de l'unité d'exécution en cours pour la protection avec RACF. Le mot de passe est celui du fichier de clés que vous avez spécifié dans la zone Chemin d'accès.

  9. Sélectionnez le type PKCS11.
  10. Sélectionnez En lecture seule.
  11. Cliquez sur OK et sur Sauvegarder.

Résultats

WebSphere Application Server peut à présent prendre en charge les jetons cryptographiques dans la configuration du serveur.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfhwcrypkeystore
Nom du fichier : tsec_sslconfhwcrypkeystore.html