[z/OS]

Configuration du fichier de clés du certificat racine

WebSphere Application Server propose une fonction qui permet à un administrateur WebSphere Application Server d'effectuer des opérations de gestion des certificats sur des jeux de clés SAF (System Authorization Facility) à l'aide des fonctions OCSF (Open Cryptographic Services Facility) de bibliothèque de données pour les jeux de clés SAF. Cette tâche consiste à configurer le fichier de clés du certificat racine.

Avant de commencer

Vous devez activer la prise en charge des jeux de clés inscriptibles à l'aide de l'outil de gestion des profils avant de générer les profils du serveur d'applications. La prise en charge des jeux de clés inscriptibles peut être configurée uniquement lorsque vous travaillez sous z/OS version 1.9 ou z/OS version 1.8 avec l'APAR OA22287 - RACF (resource access control facility) (ou l'APAR pour votre produit de sécurité équivalent) et l'APAR OA22295 – SAF.

Pourquoi et quand exécuter cette tâche

Le certificat d'autorité de certification racine est utilisé pour la signature d'autres certificats pour WebSphere Application Server. Par défaut, pendant la gestion de profil, le fichier de clés racine par défaut (NodeDefaultRootStore ou DmgrDefaultRootStore pour un gestionnaire de déploiement) et le certificat d'autorité de certification racine sont automatiquement configurés. En cas de migration depuis une installation WebSphere Application Server antérieure, vous pouvez également configurer le fichier de clés racine pour un objet de magasin de clés en procédant comme suit.

Procédure

  1. Créez un fichier de clés pour l'identifiant RACF de la région de contrôle de votre serveur. Par exemple, si le serveur s'exécute avec l'ID utilisateur RACF CRRACFID, entrez la commande suivante :
    RACDCERT ADDRING(keyring_name.Root) ID(CRRACFID)
    CRRACFID est l'ID RACF de la région de contrôle du serveur d'application. nom_fichier_clés est le nom du fichier de clés z/OS utilisé par les serveurs dans la cellule.
  2. Pour créer des certificats chaînés avec le certificat d'autorité de certification racine, le fichier de clés créé dans l'étape (1) doit comporter le certificat d'autorité de certification de la clé publique/privée généré pour votre installation WebSphere Application Server. Pour connecter le certificat, procédez comme suit :

    Déterminez l'identification d'étiquette du certificat d'autorité de certification racine pour votre installation et procédez comme suit :

    RACDCERT ID(CRRACFID) CONNECT (RING(keyring_name.Root) LABEL('rootcalabel') CERTAUTH USAGE(PERSONAL))
    CRRACFID est l'ID RACF de la région de contrôle du serveur d'application. nom_fichier_clés est le nom du fichier de clés z/OS utilisé par les serveurs dans la cellule. rootcalabel est le certificat d'autorité de certification racine
  3. Modifiez NodeDefaultRootStore (DmgrDefaultRootStore pour le gestionnaire de déploiement) afin qu'il pointe vers le fichier de clés créé à l'étape(1).
    1. Cliquez sur Sécurité > Gestion de certificats SSL et de clés > Magasins de clé et certificats
    2. Sélectionnez Fichier de clés des certificats racine dans Utilisation des magasins de clés
    3. Sélectionnez NodeDefaultRootStore (ou DmgrDefaultRootStore pour le gestionnaire de déploiement).
    4. Sous Propriétés générales
      1. Modifiez le chemin d'accès
        safkeyring://CRRACFID/keyring_name.Root

        CRRACFID est l'ID RACF de la région de contrôle du serveur d'applications. keyring_name désigne le nom du fichier de clés z/OS utilisé par les serveurs de la cellule.

      2. Modifiez le type en JCERACFKS
      3. Saisissez le mot de passe, password.
    5. Cliquez sur Appliquer.

Résultats

Une fois cette procédure terminée, un nouveau fichier de clés z/OS est créé. Il contient le certificat d'autorité de certification lié à l'utilisation personnelle.

Que faire ensuite

Vérifiez que le fichier de clés a bien été modifié.
  1. Dans Propriétés supplémentaires, dans le panneau de collecte des fichiers de clés, cliquez sur Certificats personnels.
  2. Vérifiez que le certificat s'affiche dans la liste.
Conditions d'erreur connues
  • Lorsque vous tentez de créer un nouveau fichier de clés, le message d'erreur suivant peut apparaître :
    R_datalib (IRRSDL00) error: One or more updates could not be completed.
    Requested Function_code not defined.
    Function code: (7) Return Codes: (8, 8, 20)
    Ce message indique que vous avez essayé de créer un nouveau fichier de clés sans disposer de prise en charge native inscriptive. Vous devez disposer de la version 1.9 ou 1.8 de z/OS avec l'APAR OA22287 et OA22295.
  • Le message suivant peut apparaître lorsque vous tentez d'effectuer des opérations d'écriture sur un fichier de clés SAF (exemple : opérations de création ou de suppression d'un certificat :
    Error Message: An error occurred creating the key store: R_datalib (IRRSDL00) error: One or more updates could not be completed. 
    Not RACF authorized to use the requested service. Function code: (7) Return Codes: (8, 8, 8)
    Ce message est reçu si vous n'avez pas défini l'autorité RACF appropriée. Voir le document Defining RACF authority for Clients and Servers dans la bibliothèque Internet z/OS http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/.
  • Le message suivant peut apparaître lors d'exécution d'opérations d'écriture si le fichier de clés sous-jacent n'existe pas dans RACF.
    R_datalib (IRRSDL00) error: profile for ring not found (8, 8, 84)
    Assurez-vous que le fichier de clés existe dans RACF avant d'effectuer des opérations d'écriture relatives à la gestion de certificats.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7configureSAF_keyring
Nom du fichier : tsec_7configureSAF_keyring.html