[z/OS]

書き込み可能 SAF 鍵リングの使用可能化

WebSphere® Application Server には、WebSphere Application Server 管理者が、System Authorization Facility (SAF) 鍵リングの OCSF (Open Cryptographic Services Facility) Data ライブラリー機能を利用することによって、SAF 鍵リングで証明書管理操作を実行できるようにするための機能があります。このタスクでは、既存の構成をマイグレーションし、書き込み可能 SAF 鍵リングを使用可能にします。

始める前に

このタスクは、プロファイルの作成によって書き込み可能サポートが有効になっていない 鍵ストア・オブジェクトをマイグレーションする場合に使用されます。書き込み可能鍵リングのサポートは、z/OS® リリース 1.9、 または APAR OA22287 - Resource Access Control Facility (RACF®) (または 同等のセキュリティー製品の APAR) および APAR OA22295 - SAF が適用された z/OS リリース 1.8 が 稼働している場合にのみ構成可能です。

このタスクを開始する前に、wsadmin ツールが稼働している必要があります。 詳しくは、『wsadmin スクリプト・クライアントの開始』を参照してください。

このタスクについて

デフォルトにより、プロファイル管理時に書き込み可能鍵リングのサポートが使用可能に設定されると、書き込み可能鍵リングでデフォルトの鍵ストア構成が使用可能に設定されます。あるいは、前の WebSphere Application Server インストールからマイグレーションする場合は、以下のステップを使用して鍵ストア・オブジェクトの書き込み可能鍵リングを使用可能に設定できます。

AdminTask は対話モードとバッチ・モードで使用できます。自動化の場合は、バッチ・モード・オプションを使用する必要があります。 AdminTask バッチ・モードは、JACL または Jython スクリプトで呼び出すことができます。対話モードでは、タスクで必要とされるパラメーターすべてが段階的に示され、必須パラメーターには「*」マークが付きます。AdminTask は、タスクを実行する前に、タスクのバッチ・モード構文を画面にエコー出力します。これは、バッチ・モード・スクリプトを作成して自動化する際に役立ちます。

書き込み可能 SAF 鍵リングの鍵ストア・オブジェクトを作成するには、以下の属性が必要になります。
  • keyStoreName
  • controlRegionUser
  • servantRegionUser

書き込み可能 SAF 鍵リングを使用可能に設定するときの対話モードでの手順は以下のとおりです。

手順

  1. 対話モードを使用して属性のすべてをステップスルーし、(必要に応じて) 属性のデフォルト値を使用します。
    デフォルト値は、プロンプト行の「[]」内にあります。バッチ・モードで使用される実フラグは、各プロンプト行で「()」にあります。デフォルト値を使用している場合は、フラグはバッチ・コマンド行上に表示されません。
    • Jacl を使用:
      $AdminTask enableWritableKeyrings -interactive
    • Jython の使用:
      AdminTask.enableWritableKeyings ('[interactive]')
  2. ステップ (1) の出力例を以下に示します。
    *Keystore Name (keyStoreName): NodeDefaultKeyStore
    Management Scope Name (scopeName):
    *Control region userid for z/OS (SAF) (controlRegionUser): CRRACFID
    *Servant region userid for z/OS (SAF) (servantRegionUser): SRRACFID
    
    Modify keystore for writable SAF support
    
    F (Finish)
    C (Cancel)
    
    Select [F, C]: [F] F
    WASX7278I: Generated command line: $AdminTask enableWritableKeyrings {-keyStoreName NodeDefaultKeyStore
    -controlRegionUser CRRACFID -servantRegionUser SRRACFID })

タスクの結果

2 つの追加鍵ストア・オブジェクトが作成され、管理コンソールからアクセスして、適切な鍵リングで証明書操作を実行できます。鍵ストア・オブジェクトは、your_keystore_name -CR および your_keystore_name -SR と命名されます。ここで your_keystore_name は、create コマンドで指定される鍵ストアの名前です。

your_keystore_name -CR は、制御領域プロセスの RACF ID が所有する鍵リングに、your_keystore_name -SR は、サーバント領域プロセスの RACF ID が所有する鍵ストアにそれぞれ対応します。

これらの鍵ストアは、your_keystore_name と同じ有効範囲で作成され、管理コンソールの your_keystore_name コレクション・パネルを使用してアクセスできます。

次のタスク

書き込み可能 SAF 鍵リングへのアクセス:
  1. セキュリティー」>「SSL 証明書および鍵管理」>「エンドポイント・セキュリティー構成の管理」>「{Inbound | Outbound}」> 「ssl_configuration」>「鍵ストアおよび証明書」>「[keystore ]」をクリックします。
  2. 「書き込み可能 SAF 鍵リング (Writable SAF Keyrings)」の下で、「制御領域鍵リング (Control Region Keyring)」または「サーバント領域鍵リング (Servant Region Keyring)」をクリックし、制御領域鍵リングまたはサーバント領域鍵リングそれぞれの鍵ストア・コレクションのパネルを表示します。
  3. 「追加プロパティー」で、証明書コレクションのパネルにナビゲートし、証明書管理操作を行います。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7enableSAF_keyring
ファイル名:tsec_7enableSAF_keyring.html