[z/OS]

Activation de fichiers de clés SAF inscriptibles

WebSphere Application Server propose une fonction qui permet à un administrateur WebSphere Application Server d'effectuer des opérations de gestion des certificats sur des jeux de clés SAF (System Authorization Facility) à l'aide des fonctions OCSF (Open Cryptographic Services Facility) de bibliothèque de données pour les jeux de clés SAF. Cette tâche migre les configurations existantes et active les fichiers de clés SAF inscriptibles.

Avant de commencer

Cette tâche est utilisée pour migrer les objets de magasin de clés qui n'ont pas été activés pour la prise en charge inscriptible lors de la création du profil. La prise en charge des jeux de clés inscriptibles peut être configurée uniquement lorsque vous travaillez sous z/OS version 1.9 ou z/OS version 1.8 avec l'APAR OA22287 - RACF (resource access control facility) (ou l'APAR pour votre produit de sécurité équivalent) et l'APAR OA22295 – SAF.

Avant de commencer cette tâche, assurez-vous que l'outil wsadmin est démarré. Voir les informations relatives au démarrage du client de scriptage wsadmin.

Pourquoi et quand exécuter cette tâche

Par défaut, si la prise en charge des fichiers de clés inscriptibles est activée au cours de la gestion des profils, les configurations de magasins de clés par défaut sont activées pour les fichiers de clés inscriptibles. En cas de migration depuis une installation WebSphere Application Server antérieure, vous pouvez également activer les fichiers de clés inscriptibles pour un objet de magasin de clés en procédant comme suit.

AdminTask est utilisable en mode interactif et par lots. Pour l'automatisation, vous devez utiliser les options du mode par lots. Vous pouvez appeler le mode par lots d'AdminTask dans un script JACL ou Jython. Le mode interactif parcourt chacun des paramètres nécessaires à la tâche, ceux obligatoires étant signalés par un astérisque "*". Avant d'exécuter la tâche, le mode interactif répercute la syntaxe du mode par lots à l'écran. Cette fonction peut s'avérer utile lors de l'écriture de scripts de mode par lots pour l'automatisation.

Les attributs suivants sont nécessaires pour créer des objets de magasins de clés SAF inscriptibles :
  • keyStoreName
  • controlRegionUser
  • servantRegionUser

La procédure de mode interactif permettant d'activer les fichiers de clés SAF inscriptibles est la suivante :

Procédure

  1. Utilisez le mode interactif pour parcourir tous les attributs et utiliser les valeurs par défaut des attributs (le cas échéant).
    La valeur par défaut figure entre les crochets "[]" sur la ligne d'invite. L'option réelle utilisée en mode par lots figure entre les signes "()" sur chaque ligne d'invite. Si vous adoptez la valeur par défaut, cette option n'apparaît pas sur la ligne de commande par lots.
    • A l'aide de Jacl :
      $AdminTask enableWritableKeyrings -interactive
    • En langage Jython :
      AdminTask.enableWritableKeyings ('[interactive]')
  2. Exemple de sortie de l'étape (1):
    *Keystore Name (keyStoreName): NodeDefaultKeyStore
    Management Scope Name (scopeName):
    *Control region userid for z/OS (SAF) (controlRegionUser): CRRACFID
    *Servant region userid for z/OS (SAF) (servantRegionUser): SRRACFID
    
    Modifiez le magasin de clés pour la prise en charge de fichiers de clés SAF inscriptibles
    
    F (Finish)
    C (Cancel)
    
    Select [F, C]: [F] F
    WASX7278I: Generated command line: $AdminTask enableWritableKeyrings {-keyStoreName NodeDefaultKeyStore 
    -controlRegionUser CRRACFID -servantRegionUser SRRACFID })

Résultats

Deux objets de magasin de clés supplémentaires sont créés. La console d'administration peut y accéder pour effectuer des opérations d'écriture de certificat sur le fichier de clés approprié. Les objets de magasin de clés sont nommés nom_votre_magasindeclés -CR et nom_votre_magasindeclés-SR, où nom_votre_magasindeclés est le nom du magasin de clés spécifié dans la commande de création.

your_keystore_name -CR correspond au jeu de clés détenu par l'ID RACF du processus de région de contrôle et your_keystore_name -SR correspond au fichier de clés détenu par l'ID RACF du processus de région serviteur.

Ces magasins de clés sont créés dans la même portée que nom_votre_magasindeclés et la console d'administration peut y accéder à partir du panneau de la collection nom_votre_fichierdeclés.

Que faire ensuite

Accès aux fichiers de clés SAF inscriptibles :
  1. Cliquez sur Sécurité > Certificat SSL et gestion des clés > Gérer les configurations de sécurité des noeuds finals > {Entrant | Sortant} > configuration_ssl > Magasins de clés et certificats > [fichier de clés ].
  2. Sous Fichiers de clés SAF inscriptibles, cliquez sur Fichier de clés de région de contrôle ou Fichier de clés de région serviteur pour afficher le panneau de collection de magasin de clés pour le fichier de clés de la région de contrôle ou de la région serviteur, respectivement.
  3. Sous Propriétés supplémentaires, naviguez vers les panneaux de collection de certificat pour effectuer des opérations de gestion des certificats.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7enableSAF_keyring
Nom du fichier : tsec_7enableSAF_keyring.html