[z/OS]

Configuration de fichier de clés RACF

Utilisation de Java pour créer un RACFInputStream pour un fichier de clés RACF

Lors du processus d'authentification SSL, WebSphere Application Server considère un certificat se connectant en tant que certificat PERSONNEL comme étant une KeyEntry. Vous pouvez utiliser le certificat comme certificat d'utilisateur final dans un établissement de liaison SSL 5Secure Sockets Layer) parce que la clé privée est disponible.

WebSphere Application Server considère un certificat se connectant comme certificat CERTAUTH en tant que TrustedCertEntry et traite le certificat comme une autorité de certification (CA). Les fichiers de clés nécessitent des certificats qui se connectent en tant que PERSONAL et des certificats CA qui se connectent en tant que CERTAUTH. Les certificats qui se connectent en tant que SITE ne sont pas pris en charge dans cette version.

Un fichier de clés RACF qu'un client JSSE (Java™ Secure Socket Extension) et un serveur peuvent utiliser, tant pour des informations de confiance et de clé, est illustré dans l'exemple de code suivant :
Certificate Label Name Cert Owner USAGE    DEFAULT
---------------------- ---------- -------- -------
PersonalEndUserCert    ID(USERID) PERSONAL YES
PersonalEndUserCACert  CERTAUTH   CERTAUTH NO
Vous devez ajouter le fournisseur de chemin de certification à votre environnement Java pour construire des chaînes de certificats à partir des certificats que WebSphere Application Server lit dans RACF)(Resource Access Control Facility). Ajoutez la ligne suivante à votre liste de fournisseurs de fichiers java.security :
security.provider.X=com.ibm.security.cert.IBMCertPath

Si le chargement d'un des certificats RACF échoue, le fichier de clé n'est pas chargé. Vous devez supprimer les certificats indésirables du fichier de clés.

Le RACFInputStream contient trois paramètres :
  • userid - chaîne contenant l'ID de l'utilisateur qui possède le fichier de clés
  • ringid - chaîne contenant le nom du fichier de clés RACF
  • password - matrice de caractère contenant le mot de passe du fichier de clés
L'exemple de code suivant illustre le script RACFInputStream transmettant directement un ID utilisateur, un ID anneau et un mot de passe de type null :
import com.ibm.crypto.provider.RACFInputStream;

String ksfname;
char[] storePass = null;
              
RACFInputStream riStream = new RACFInputStream(System.getProperty("user.name"),
                                               ksfname, 
                                               storePass);
KeyStore racfKeyStore = KeyStore.getInstance("JCERACFKS");
racfKeyStore.load(riStream, storePass);                             
       
riStream.close();
Dans l'exemple précédent, la propriété système user.name est référencée pour fournir l'ID utilisateur que WebSphere Application Server transmet à RACF. Cet exemple n'est pas courant.

Pour plus d'informations sur l'exécution du script RACFInputStream, voir le document z/OS Unique Considerations for the Java 2 SDK, Standard Edition, v 6.0. Un lien vers ce document z/OS est fourni dans la section Related Links de cette rubrique.

Accession à un RACFInputStream au moyen d'un URLStreamHandler

Dans cette version, vous pouvez accéder aux données via des classes définies par l'utilisateur avec l'objet URLStreamHandler. WebSphere Application Server peur définir les classes qui accèdent aux données avec la propriété système java.protocol.handler.pkgs. Pour accéder aux données qui se trouvent dans le fichier de clés RACF SAF (Service Authorization Facility), utiliser l'URL safkeyring avec les classes associées.
Pour utiliser la classe URLStreamHandler afin de créer un RACFInputStream, définissez la propriété Java suivante :
-Djava.protocol.handler.pkgs
Si vous utilisez le fournisseur IBM® Java Cryptography Extension (IBMJCE) pour assurer la prise en charge de chiffrement, définissez la propriété sur la valeur suivante :
-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
Si vous utilisez le fournisseur IBMJCE4758 pour assurer la prise en charge de chiffrement, définissez la propriété sur la valeur suivante :
-Djava.protocol.handler.pkgs=com.ibm.crypto.hdwrCCA.provider
Vous pouvez utiliser une adresse URL pour spécifier un gestionnaire de flux dans le fichier java.policy. L'utilitaire jarsigner accepte aussi une adresse URL comme paramètre-keystore. Lorsque des certificats d'un fichier de clés RACF vérifie les fichiers jar signés, vous pouvez préciser que WebSphere Application Server doit utiliser ce fichier de clés comme flux d'entrée vers le fichier de clés du fichier java.policy, comme illustré dans l'exemple de code suivant :
keystore "safkeyring://myracfid/my_key_ring", " JCERACFKS";
Dans cet exemple,
  • safkeyring est le mot clé de l'URL que le serveur utilise pour accéder au code URLStreamHandler pour lire des données du fichier de clés
  • myracfid est l'ID utilisateur RACF qui a l'autorisation de lire des données du fichier de clés
  • my_key_ring est le nom du fichier de clés dans lequel les données sont lues
  • JCERACFKS est le type de fichier de clés défini pour un fichier de clés de fichier de clés SAF (RACF)
La machine JVM (Java Virtual Machine) doit être démarrée avec la propriété java.protocol.handler.pkgs définie sur l'une des valeurs décrites précédemment de sorte que WebSphere Application Server puisse appeler l'URLStreamHandler approprié. L'exemple suivant illustre l'emploi de l'utilitaire jarsigner avec une URL safkeyring :
jarsigner -keystore safkeyring://myracfid/my_key_ring -signedjar
ibmjceproviders.jar ibmjceprovider.jar ibmprovider -storetype JCERACFKS 
Pour de plus amples informations sur l'insertion ou la mise à jour de données dans le gestionnaire de sécurité externe RACF, reportez-vous à la commande RACDCERT dans les publications suivantes :
  • z/OS SecureWay Security Server RACF Security Administrator's Guide - SA22-7683
  • z/OS SecureWay Security Server RACF Command Language Reference - SA22-7687

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_racfkeyringsetup
Nom du fichier : rsec_racfkeyringsetup.html