[z/OS]

監査での署名と暗号化に対する SAF 鍵リング・サポート

監査を使用可能にすると、サーバント領域と制御領域の両方でロギングが行われます。 監査が SAF 鍵リングに保管されている署名および暗号化に証明書を使用する場合、 証明書と SAF 鍵リングは、サーバント領域および制御領域の両方の RACF® ID からアクセス可能でなければなりません。

証明書のアクセシビリティーの判別

RACF の 鍵リング情報をレビューして、証明書がサーバント領域および制御領域の両方の RACF ID からアクセス可能であるかどうかを判別する必要があります。証明書がアクセス可能であるかどうかを判別する方法は複数あります。以下のいずれかの処理を完了します。
  • 以下の RACDCERT LISTING コマンドを使用して、 特定の鍵リングの特定の RACF ID に関連した証明書をリストし、 リストを比較します。
    RACDCERT ID(CRRACFID) LISTRING(keyring_name)
    RACDCERT ID(SRRACFID) LISTRING(keyring_name)
    • CRRACFID は、制御領域の RACF ID です。
    • SRRACFID は、サーバント領域の RACF ID です。
    • keyring_name は、特定の鍵リングです。
  • RACF で証明書に関する情報をリストします。以下の RACDCERT LIST コマンドを使用して、 鍵リングと、証明書へのアクセス権限を持つ RACF ID のリストを取得し、サーバント領域と制御領域の両方の RACF ID が リストされているかどうか判別します。
    RACDCERT LIST (LABEL('certificate_label')) CERTAUTH
証明書が一方の RACF ID からはアクセス可能で、もう一方の RACF ID からはアクセス不能である場合には、 以下の RACDCERT CONNECT コマンドを使用して、証明書をもう一方の RACF ID に関連付けることができます。
RACDCERT ID(CRRACFID) CONNECT (ID(CRRACFID) LABEL('certificate_label') RING(keyring_name) DEFAULT)

監査を行う場合、 鍵ストア・オブジェクトが WebSphere® Application Server 内の 鍵リングに関連付けられていなければなりません。鍵ストア・オブジェクトと鍵リングが関連付けられていない場合は、管理コンソールまたは CreateKeyStore wsadmin コマンドを使用して、関連を作成することが できます。詳しくは、鍵ストア設定または KeyStoreCommands コマンド・グループ に関する説明を参照してください。

書き込み可能 SAF 鍵リングへのアクセス

書き込み可能 SAF 鍵リングを 使用可能にしており、鍵リングが WebSphere Application Server 内に構成オブジェクトを持っている場合は、 管理コンソールまたは wsadmin タスクを使用して、証明書がサーバント領域と制御領域の 両方の RACF ID からアクセス可能であることを確かめることができます。通常、以下の 3 つの鍵ストア・オブジェクトが、書き込み可能 SAF 鍵リングに関連付けられています。
  • 鍵リングの読み取り専用ビュー
  • 鍵リングのサーバント領域ビュー
  • 鍵リングの制御領域ビュー

サーバント領域と制御領域の両方の鍵ストア・オブジェクト で証明書を見ることができる場合は、その証明書を署名および暗号化の監査に使用することができます。 鍵ストア・オブジェクトは、管理コンソールまたは listPersonalCertificates コマンド を使用して見ることができます。詳しくは、SSL における証明書管理に関する説明、または PersonalCertificateCommands コマンド・グループに関する説明を参照してください。

一方の鍵ストア・オブジェクトで見ることができる証明書が、もう一方の鍵ストア・オブジェクトでは 見ることができない場合には、その欠落している証明書をもう一方の鍵ストア・オブジェクトに インポートすることができます。例えば、制御領域の鍵ストア・オブジェクトで見ることができる証明書を サーバント領域の鍵ストア・オブジェクトで見ることができない場合は、 サーバント領域の鍵ストア・オブジェクトに証明書をインポートする必要があります。 制御領域の鍵ストア・オブジェクトからサーバント領域の鍵ストア・オブジェクトに証明書をインポートするには、 管理コンソールまたは importCertificate コマンドを使用することができます。 詳しくは、証明書のインポートまたは PersonalCertificateCommands コマンド・グループ に関する説明を参照してください。

書き込み可能 SAF 鍵リングについて詳しくは、 書き込み可能 SAF 鍵リングの使用、作成、および使用可能化に関する説明を参照してください。

監査における SAF 鍵リングの証明書の使用

SAF 鍵リングのサーバント領域と制御領域の両方の RACF ID で証明書にアクセスできるようになったら、 その証明書を監査での署名と暗号化に使用することができます。書き込み可能 SAF 鍵リングを使用している 場合には、監査構成を持つ読み取り専用の鍵ストア・オブジェクトを使用してください。 監査での署名と暗号化における証明書の使用について詳しくは、 セキュリティー監査データの保護に関する説明を参照してください。


トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safkeyringaudit
ファイル名:csec_safkeyringaudit.html