![[z/OS]](../images/ngzos.gif)
Configuration de fichier de clés RACF
Utilisation de Java pour créer un RACFInputStream pour un fichier de clés RACF
Lors du processus d'authentification SSL, WebSphere Application Server considère un certificat se connectant en tant que certificat PERSONNEL comme étant une KeyEntry. Vous pouvez utiliser le certificat comme certificat d'utilisateur final dans un établissement de liaison SSL 5Secure Sockets Layer) parce que la clé privée est disponible.
WebSphere Application Server considère un certificat se connectant comme certificat CERTAUTH en tant que TrustedCertEntry et traite le certificat comme une autorité de certification (CA). Les fichiers de clés nécessitent des certificats qui se connectent en tant que PERSONAL et des certificats CA qui se connectent en tant que CERTAUTH. Les certificats qui se connectent en tant que SITE ne sont pas pris en charge dans cette version.
Certificate Label Name Cert Owner USAGE DEFAULT
---------------------- ---------- -------- -------
PersonalEndUserCert ID(USERID) PERSONAL YES
PersonalEndUserCACert CERTAUTH CERTAUTH NO
security.provider.X=com.ibm.security.cert.IBMCertPath
Si le chargement d'un des certificats RACF échoue, le fichier de clé n'est pas chargé. Vous devez supprimer les certificats indésirables du fichier de clés.
Le RACFInputStream contient trois paramètres :- userid - chaîne contenant l'ID de l'utilisateur qui possède le fichier de clés
- ringid - chaîne contenant le nom du fichier de clés RACF
- password - matrice de caractère contenant le mot de passe du fichier de clés
import com.ibm.crypto.provider.RACFInputStream;
String ksfname;
char[] storePass = null;
RACFInputStream riStream = new RACFInputStream(System.getProperty("user.name"),
ksfname,
storePass);
KeyStore racfKeyStore = KeyStore.getInstance("JCERACFKS");
racfKeyStore.load(riStream, storePass);
riStream.close();
Dans l'exemple précédent, la propriété système user.name est référencée pour fournir l'ID utilisateur que WebSphere Application Server transmet à RACF. Cet exemple n'est pas courant. Pour plus d'informations sur l'exécution du script RACFInputStream, voir le document z/OS Unique Considerations for the Java 2 SDK, Standard Edition, v 6.0. Un lien vers ce document z/OS est fourni dans la section Related Links de cette rubrique.
Accession à un RACFInputStream au moyen d'un URLStreamHandler
Dans cette version, vous pouvez accéder aux données via des classes définies par l'utilisateur avec l'objet URLStreamHandler. WebSphere Application Server peur définir les classes qui accèdent aux données avec la propriété système java.protocol.handler.pkgs. Pour accéder aux données qui se trouvent dans le fichier de clés RACF SAF (Service Authorization Facility), utiliser l'URL safkeyring avec les classes associées.-Djava.protocol.handler.pkgs
Si vous utilisez le fournisseur IBM® Java Cryptography Extension (IBMJCE) pour assurer la prise en charge de chiffrement, définissez la propriété sur la valeur suivante :-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
Si vous utilisez le fournisseur IBMJCE4758 pour assurer la prise en charge de chiffrement, définissez la propriété sur la valeur suivante :-Djava.protocol.handler.pkgs=com.ibm.crypto.hdwrCCA.provider
Vous pouvez utiliser une adresse URL pour spécifier un gestionnaire de flux dans le fichier java.policy.
L'utilitaire jarsigner accepte aussi une adresse URL comme paramètre-keystore.
Lorsque des certificats d'un fichier de clés RACF vérifie les fichiers jar signés, vous pouvez préciser que WebSphere Application Server doit utiliser ce fichier de clés comme flux d'entrée vers le fichier de clés du fichier java.policy, comme illustré dans l'exemple de code suivant : keystore "safkeyring://myracfid/my_key_ring", " JCERACFKS";
Dans cet exemple, - safkeyring est le mot clé de l'URL que le serveur utilise pour accéder au code URLStreamHandler pour lire des données du fichier de clés
- myracfid est l'ID utilisateur RACF qui a l'autorisation de lire des données du fichier de clés
- my_key_ring est le nom du fichier de clés dans lequel les données sont lues
- JCERACFKS est le type de fichier de clés défini pour un fichier de clés de fichier de clés SAF (RACF)
jarsigner -keystore safkeyring://myracfid/my_key_ring -signedjar
ibmjceproviders.jar ibmjceprovider.jar ibmprovider -storetype JCERACFKS
- z/OS SecureWay Security Server RACF Security Administrator's Guide - SA22-7683
- z/OS SecureWay Security Server RACF Command Language Reference - SA22-7687