Secure Sockets Layer (SSL) 構成は、セキュリティー処理時に鍵ストア構成を参照します。別の鍵ストア・ツールを使用して鍵ストア・ファイルを作成する場合、または前の構成から鍵ストア・ファイルを保存した場合は、既存の鍵ストア・ファイルを参照する新しい鍵ストア構成オブジェクトを作成する必要があります。その後、サーバーはこの新しい鍵ストア構成オブジェクトを使用して、既存の鍵ストア・ファイルから情報を取得します。
始める前に
鍵ストアが事前に存在している必要があります。
代替方法: wsadmin ツールを使用して鍵ストアを作成するには、
AdminTask オブジェクトの createKeyStore コマンドを使用します。詳しくは、AdminTask オブジェクトの KeyStoreCommands
コマンド・グループの項目を参照してください。
このタスクについて
管理コンソールで以下のステップを実行します。
手順
- 「セキュリティー」>「SSL 証明書および鍵管理」>「エンドポイント・セキュリティー構成の管理」>「{Inbound | Outbound}」とクリックします。
- 「関連項目」で「鍵ストアおよび証明書」をクリックしてから、
「新規」をクリックします。
- 「名前」フィールドに名前を入力します。 この名前により、構成内の鍵ストアが一意的に識別されます。
- 「パス」フィールドに鍵ストア・ファイルのロケーションを入力します。 このロケーションは、ファイル名か、既存の鍵ストア・ファイルへのファイル URL です。
「制御領域ユーザー (Control region user)」フィールドに、
制御領域の System Authorization Facility (SAF) 鍵リングを作成する、
制御領域の始動済みタスクのユーザー ID を入力します。 ユーザー ID は、制御領域で使用されている ID と完全に一致している必要があります。
トラブルの回避 (Avoid trouble): このオプションは、z/OS® で書き込み可能な SAF 鍵リングを作成している場合にのみ適用されます。
gotcha
「サーバント領域ユーザー (Servant region user)」フィールドに、
サーバント領域の System Authorization Facility (SAF) 鍵リングを作成する、
サーバント領域の始動済みタスクのユーザー ID を入力します。 ユーザー ID は、制御領域で使用されている ID と完全に一致している必要があります。
トラブルの回避 (Avoid trouble): このオプションは、z/OS で書き込み可能な SAF 鍵リングを作成している場合にのみ適用されます。
gotcha
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
「パスワード」フィールドに鍵ストア・パスワードを入力します。 このパスワードは、「パス」フィールドで指定した鍵ストア・ファイル用のものです。
「パスワード」フィールドに鍵ストア・パスワード を入力します。 このパスワードは、「パス」フィールドで指定した鍵ストア・ファイル用のものです。
他の鍵ストアとは異なり、JCERACFKS 鍵ストアはパスワード保護されません。
ただし、パスワードを要求する JCE 鍵ストアとの互換性を保つため、JCERACFKS 鍵ストアはパスワード password を要求します。
JCERACFKS 鍵ストアのセキュリティー保護は、RACF による保護を受けるための実行スレッドの ID に基づいています。
- 「確認パスワード」フィールドに、鍵ストア・パスワードを再度入力して、パスワードを確認します。
- リストから鍵ストア・タイプを選択します。 選択するタイプは、「パス」フィールドで指定した鍵ストア・ファイル用のものです。
- 以下のオプションを任意に選択します。
- 「Read only selection」を選択すると、鍵ストア構成オブジェクトが作成されますが、鍵ストア・ファイルは作成されません。このオプションを選択する場合、
「パス」フィールドで指定した鍵ストア・ファイルが既に存在している必要があります。
- 「Initialize at startup selection」を選択すると、実行時に鍵ストアが初期化されます。
- 「ハードウェア装置での暗号操作を使用可能にする
(Enable cryptographic operations on a hardware device)」は、暗号操作のみを行うために
ハードウェア暗号装置を使用するかどうかを指定します。
トラブルの回避 (Avoid trouble): このオプションを使用する場合、
ログインが必要な操作はサポートされません。
gotcha
- 「適用」と「保存」をクリックします。
タスクの結果
指定した鍵ストア・ファイルに鍵ストア構成オブジェクトが作成されました。これで、この鍵ストアを SSL 構成で使用することができます。
また、この方法を使用して、z/OS 鍵リング・ファイルを構成に追加することもできます。鍵リング・ファイルは、ファイル・ベースではなく読み取り専用である必要があります。