![[z/OS]](../images/ngzos.gif)
ICSF および RACF 鍵ストアによる z/OS ハードウェア暗号方式の使用
Integrated Cryptographic Service Facility (ICSF) は z/OS システム上の ソフトウェアであり、鍵を保管できるハードウェアとのインターフェースの役目を 果たします。IBMJCECCARACFKS 鍵ストアは、Resource Access Control Facility (RACF) で管理されている証明書と鍵を処理します。証明書は RACF に保管されますが、鍵は ICSF にも RACF にも保管できます。鍵が RACF に保管されているか ICSF に保管されているかに関係なく、IBMJCECCARACFKS 鍵ストアがハードウェア暗号 (暗号化、暗号化解除、署名など) を利用できるようになります。
始める前に
このタスクを開始する前に、トピック「Web Services Securityでの ハードウェア暗号装置サポートの」の内容に精通している必要があります。
- RACF に証明書を配置するために必要なセットアップを完了してください。証明書を RACF 内に配置する方法については、システムで稼働している z/OS のバージョンの z/OS インフォメーション・センターを参照してください。
- IBMJCECCA プロバイダーが使用する ICSF サービスに必要な CSFSERV アクセス権限を確認してください。これらのアクセス権について詳しくは、資料「Standard Edition, Hardware Cryptography IBMJCECCA Overview」を参照してください。この資料は、http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html にあります。
- ICSF が実行中であることを確認してください。
このタスクについて
JCECCAKS 鍵ストアは、 ICSF で直接管理および保管する鍵に使用され、これを使用するためには、java.security ファイルで 指定したプロバイダー・リストに IBMJCECCA プロバイダーを含める必要があります。
JCECCARACFKS 鍵ストアは、RACF で管理する証明書や鍵に 使用されます。証明書は RACF に保管されますが、鍵は RACF にも ICSF にも 保管できます。JCECCARACFKS 鍵ストア・タイプを使用するには、java.security ファイルで 指定したプロバイダー・リストに IBMJCECCA プロバイダーを含める必要があります。 鍵がハードウェアに保管されていない場合でも、パフォーマンス暗号を利用してパフォーマンスを向上させることができます。
JCERACFKS 鍵ストアは、 IBMJCE プロバイダーまたは IBMJCECCA プロバイダーと一緒に使用されます。 JCERACFKS 鍵ストアは、RACF で管理および保管される証明書と鍵に 使用できます。IBMJCECCA プロバイダーの使用時にハードウェア暗号を利用して、パフォーマンスを向上させることができます。JCERACFKS 鍵ストアの URI パス参照は safkeyring:///your_keyring_name という形式です。