![[z/OS]](../images/ngzos.gif)
Prise en charge du fichier de clés SAF pour la signature d'audit et le chiffrement
Lorsque vous activez l'audit, une journalisation se produit à la fois dans les régions serviteur et les régions de contrôle. Lorsque l'audit utilise un certificat pour la signature et le chiffrement qui sont stockés dans les fichiers de clés SAF, ce certificat et le fichier de clés SAF doivent être accessibles par les ID RACF des régions serviteur et des régions de contrôle.
Détermination de l'accessibilité du certificat
- Les commandes RACDCERT LISTING suivantes permettent d'afficher la
liste des certificats qui sont sont associés à un ID RACF particulier pour un fichier de clés spécifique et de
comparer les listes :
RACDCERT ID(CRRACFID) LISTRING(keyring_name) RACDCERT ID(SRRACFID) LISTRING(keyring_name)
- CRRACFID est l'ID RACF de la région de contrôle
- SRRACFID est l'ID RACF de la région serviteur
- keyring_name est le fichier de clés spécifié
- Liste des informations sur un certificat dans RACF. La commande RACDCERT LIST suivante
permet d'obtenir la liste des fichiers de clé et les ID RACF qui ont accès au certificat et de
déterminer si les ID RACF des régions serviteur et des régions de contrôle sont affichés :
RACDCERT LIST (LABEL('certificate_label')) CERTAUTH
RACDCERT ID(CRRACFID) CONNECT (ID(CRRACFID) LABEL('certificate_label') RING(keyring_name) DEFAULT)
Pour l'audit, un objet fichier de clés doit être associé à un fichier de clés dans WebSphere Application Server. Si l'objet fichier de clés n'est associé à aucun fichier de clé, vous pouvez créer cette association dans la console d'administration ou utiliser la commande CreateKeyStore wsadmin. Pour plus d'informations, consultez les informations relatives aux paramètres de fichier de clés ou au groupe de commandes KeyStoreCommands.
Accès aux fichiers de clés SAF inscriptibles
- une vue en lecture seule pour le fichier de clés,
- la vue région serviteur du fichier de clés,
- la vue région de contrôle du fichier de clés.
Si le certificat est vu à la fois par les objets fichier de clés région serviteur et région de contrôle, vous pouvez utiliser le certificat pour la signature d'audit et le chiffrement. Vous pouvez examiner l'objet fichier de clés à partir de la console d'administration ou à l'aide de la commande listPersonalCertificates. Pour plus d'informations, consultez les informations relatives à la gestion de certificats dans SSL ou au groupe de commandes PersonalCertificateCommands.
Si vous pouvez voir le certificat dans un objet fichier de clés, et ne pouvez pas le voir dans un autre, vous pouvez importer le certificat manquant dans l'autre objet fichier de clés. Par exemple, vous devez importer le certificat dans l'objet fichier de clés de la région serviteur si vous pouvez le voir dans l'objet fichier de clés de la région de contrôle et pas dans l'objet fichier de clés de la région serviteur. Vous pouvez importer le certificat de l'objet fichier de clés de la région de contrôle dans l'objet fichier de clés de la région serviteur à partir de la console d'administration ou à l'aide de la commande importCertificate. Pour plus d'informations, consultez les informations relatives à l'importation d'un certificat ou au groupe de commandes PersonalCertificateCommands.
Pour plus d'informations sur les fichiers de clés SAF inscriptibles, consultez la rubrique relative à l'utilisation, la création et l'activation des fichiers de clés SAF inscriptibles.
Utilisation de certificats dans les fichiers de clés SAF pour l'audit
Une fois que le certificat est accessible par les ID RACF des régions serviteur et des régions de contrôle, vous pouvez l'utiliser pour la signature d'audit et le chiffrement. Si vous utilisez des fichiers de clés SAF inscriptibles, utilisez l'objet fichier de clés en lecture seule avec la configuration d'audit. Pour plus d'informations sur l'utilisation de certificats pour la signature d'audit et le chiffrement, consultez la rubrique relative à la protection des données d'audit de sécurité.