[z/OS]

Prise en charge du fichier de clés SAF pour la signature d'audit et le chiffrement

Lorsque vous activez l'audit, une journalisation se produit à la fois dans les régions serviteur et les régions de contrôle. Lorsque l'audit utilise un certificat pour la signature et le chiffrement qui sont stockés dans les fichiers de clés SAF, ce certificat et le fichier de clés SAF doivent être accessibles par les ID RACF des régions serviteur et des régions de contrôle.

Détermination de l'accessibilité du certificat

Vous devez déterminer si un certificat est accessible par les ID RACF des régions serviteur et des régions de contrôle en vous reportant aux informations de fichiers de clés dans RACF. Plusieurs méthodes permettent de déterminer si un certificat est accessible. Procédez de l'une des manières suivantes :
  • Les commandes RACDCERT LISTING suivantes permettent d'afficher la liste des certificats qui sont sont associés à un ID RACF particulier pour un fichier de clés spécifique et de comparer les listes :
    RACDCERT ID(CRRACFID) LISTRING(keyring_name)
    RACDCERT ID(SRRACFID) LISTRING(keyring_name)
    • CRRACFID est l'ID RACF de la région de contrôle
    • SRRACFID est l'ID RACF de la région serviteur
    • keyring_name est le fichier de clés spécifié
  • Liste des informations sur un certificat dans RACF. La commande RACDCERT LIST suivante permet d'obtenir la liste des fichiers de clé et les ID RACF qui ont accès au certificat et de déterminer si les ID RACF des régions serviteur et des régions de contrôle sont affichés :
    RACDCERT LIST (LABEL('certificate_label')) CERTAUTH
Si le certificat est accessible par un ID RACF et pas l'autre ID RACF, vous pouvez utiliser la commande RACDCERT CONNECT suivante pour connecter le certificate à l'autre ID RACF :
RACDCERT ID(CRRACFID) CONNECT (ID(CRRACFID) LABEL('certificate_label') RING(keyring_name) DEFAULT)

Pour l'audit, un objet fichier de clés doit être associé à un fichier de clés dans WebSphere Application Server. Si l'objet fichier de clés n'est associé à aucun fichier de clé, vous pouvez créer cette association dans la console d'administration ou utiliser la commande CreateKeyStore wsadmin. Pour plus d'informations, consultez les informations relatives aux paramètres de fichier de clés ou au groupe de commandes KeyStoreCommands.

Accès aux fichiers de clés SAF inscriptibles

Si vous activez les fichiers de clés SAF inscriptibles et si le fichier de clés a un objet de configuration dans WebSphere Application Server, vous pouvez utiliser la console d'administration ou la tâche wsadmin pour vérifier que le certificat est accessible par les ID RACF des régions serviteur et des régions de contrôle. Généralement, les trois objets fichier de clés suivants sont associés à un fichier de clés SAF iscriptible :
  • une vue en lecture seule pour le fichier de clés,
  • la vue région serviteur du fichier de clés,
  • la vue région de contrôle du fichier de clés.

Si le certificat est vu à la fois par les objets fichier de clés région serviteur et région de contrôle, vous pouvez utiliser le certificat pour la signature d'audit et le chiffrement. Vous pouvez examiner l'objet fichier de clés à partir de la console d'administration ou à l'aide de la commande listPersonalCertificates. Pour plus d'informations, consultez les informations relatives à la gestion de certificats dans SSL ou au groupe de commandes PersonalCertificateCommands.

Si vous pouvez voir le certificat dans un objet fichier de clés, et ne pouvez pas le voir dans un autre, vous pouvez importer le certificat manquant dans l'autre objet fichier de clés. Par exemple, vous devez importer le certificat dans l'objet fichier de clés de la région serviteur si vous pouvez le voir dans l'objet fichier de clés de la région de contrôle et pas dans l'objet fichier de clés de la région serviteur. Vous pouvez importer le certificat de l'objet fichier de clés de la région de contrôle dans l'objet fichier de clés de la région serviteur à partir de la console d'administration ou à l'aide de la commande importCertificate. Pour plus d'informations, consultez les informations relatives à l'importation d'un certificat ou au groupe de commandes PersonalCertificateCommands.

Pour plus d'informations sur les fichiers de clés SAF inscriptibles, consultez la rubrique relative à l'utilisation, la création et l'activation des fichiers de clés SAF inscriptibles.

Utilisation de certificats dans les fichiers de clés SAF pour l'audit

Une fois que le certificat est accessible par les ID RACF des régions serviteur et des régions de contrôle, vous pouvez l'utiliser pour la signature d'audit et le chiffrement. Si vous utilisez des fichiers de clés SAF inscriptibles, utilisez l'objet fichier de clés en lecture seule avec la configuration d'audit. Pour plus d'informations sur l'utilisation de certificats pour la signature d'audit et le chiffrement, consultez la rubrique relative à la protection des données d'audit de sécurité.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safkeyringaudit
Nom du fichier : csec_safkeyringaudit.html