[z/OS]

Utilisation de la cryptographie matérielle z / OS optimisant les fichiers de clés ICSF et RACF

Integrated Cryptographic Service Facility (ICSF) est le logiciel sur un système z / OS qui sert d'interface avec le matériel où les clés peuvent être stockées. Les fichiers de clés IBMJCECCARACFKS gèrent les certificats et les clés gérés dans Resource Access Control Facility (RACF). Les certificats sont stockés dans RACF, mais vous pouvez stocker des clés dans ICSF ou RACF. Le fichier de clés IBMJCECCARACFKS réalise l'exploitation chiffrée du matériel, telle que le chiffrement, le déchiffrement et la signature, indépendamment du fait que les clés sont stockées dans RACF ou dans ICSF.

Avant de commencer

Avant d'effectuer cette tâche, prenez connaissance du contenu de la rubrique Prise en charge des périphériques cryptographiques matériels pour la sécurité des services Web.

Vous devez aussi :
  • Vérifiez que la configuration nécessaire pour le placement de vos certificats dans RACF a été exécutée. Consultez le centre de documentation z/OS de la version de z/OS exécutée sur votre système pour des informations sur le placement de vos certificats dans RACF.
  • Connaître les droits d'accès CSFSERV requis pour les services ICSF que le fournisseur IBMJCECCA utilise. Consultez le document Standard Edition, Hardware Cryptography IBMJCECCA Overview pour des informations sur ces droits d'accès. Il est disponible à l'adresse http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html.
  • Vérifiez que les services ICSF sont en cours d'exécution.
Remarque : Le type de fichier de clés JCECCARACFKS est disponible uniquement sur la plateforme z/OS.

Pourquoi et quand exécuter cette tâche

Le fichier de clés JCECCAKS est utilisé pour les clés que vous gérez et stockez directement dans ICSF et exige que vous incluiez le fournisseur IBMJCECCA dans la liste des fournisseurs spécifiée dans le fichier java.security.

Le fichier de clés JCECCARACFKS est utilisé pour les certificats et les clés que vous gérez dans RACF. Vous stockez les certificats dans RACF, et vous pouvez stocker les clés dans RACF ou ICSF. L'utilisation du type de fichier de clés JCECCARACFKS exige que vous incluiez le fournisseur IBMJCECCA dans la liste des fournisseurs spécifiée dans le fichier java.security. Vous pouvez réaliser une exploitation chiffrée du matériel au bénéfice des performances même lorsque vos clés ne sont pas stockées dans le matériel.

Le magasin de clés JCERACFKS est utilisé avec le fournisseur IBMJCE ou IBMJCECCA. Vous pouvez utiliser le fichier de clés JCERACFKS pour les certificats et les clés gérés et stockés par RACF. Vous pouvez réaliser une exploitation chiffrée du matériel au bénéfice des performances lorsque vous utilisez le fournisseur IBMJCECCA. La référence du chemin URI pour le fichier de clés JCERACFKS se présente sous la forme safkeyring:///nom_votre_jeudeclés.

Remarque : Si la clé va être stockée dans le matériel, générer de nouvelles clés dans RACF exige l'utilisation de l'option Collectif.

Procédure

  1. Démarrez les services ICSF requis. Pour plus d'informations, voir la documentation JAVA et ICSF.
  2. Localisez le fichier de sécurité java WAS_HOME/AppServer/properties. Le fichier de sécurité Java est un lien symbolique vers un fichier de sécurité Java dans le système hiérarchique de fichiers SMP/E. Supprimez le lien symbolique du fichier de sécurité java et copiez le fichier java.security du système hiérarchique de fichiers SMP/E vers WAS_HOME/AppServer/properties afin qu'il puisse être édité. In the java.security file uncomment the following IBMJCECCA provider in the provider list:
    security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
  3. Renumérotez les fournisseurs figurant dans la liste des fournisseurs.
  4. Accédez à Sécurité > Certificat SSL et gestion des clés > Fichiers de clés et certificats.
  5. Cliquez sur Nouveau pour créer un fichier (ou magasin) de clés.
  6. Ajoutez le chemin de répertoire au fichier de clés. L'URI doit contenir safkeyringhw plutôt que safkeyring, par exemple, safkeyringhw:///nom_votre_jeudeclés.
  7. Sélectionnez JCECCARACFKS pour le Type et remplissez le reste des zones si nécessaire.

    Si la connexion par jeton est requise, entrez le mot de passe du fichier de clés dans la zone Mot de passe.

    Pour être compatible avec le fichier de clés JCE en termes de mot de passe, le mot de passe JCERACFKS est mot de passe. La sécurité de ce fichier de clés n'est pas réellement protégée par mot de passe comme les autres types de fichier de clés, mais plutôt basée sur l'identité de l'unité d'exécution en cours pour la protection avec RACF. Le mot de passe est celui du fichier de clés que vous avez spécifié dans la zone Chemin d'accès.

    Les opérations qui utilisent des clés sur le jeton requièrent une connexion sécurisée. Cette zone est facultative si le fichier de clés est utilisé comme accélérateur cryptographique. Dans ce cas, vous devez sélectionner l'option Activer les opérations cryptographiques sur le périphérique matériel.

  8. Cliquez sur OK puis sur Sauvegarde pour appliquer ces modifications à la configuration principale.

    Il se peut que vous deviez redémarrer les serveurs pour que ces modifications soient appliquées.

Résultats

Un magasin de clés est maintenant disponible pour configurer les connexions SSL.

Que faire ensuite

Vous pouvez continuer à sécuriser la communication entre le client et le serveur en utilisant ce fichier de magasin de clés lors du réglage de la configuration SSL.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_storecertkeysICSF
Nom du fichier : tsec_storecertkeysICSF.html