[z/OS]

書き込み可能 SAF 鍵リングの作成

WebSphere® には、WebSphere 管理者が System Authorization Facility (SAF) 鍵リング向けの OCSF (Open Cryptographic Services Facility) データ・ライブラリー機能を使用することによって SAF 鍵リングに関する証明書管理操作を実行できるようにするための機能があります。このタスクでは、新規鍵ストア構成およびそれに関連付けられる鍵リングを作成します。

始める前に

JCERACFKS 鍵ストアは、 IBMJCE プロバイダーまたは IBMJCECCA プロバイダーと一緒に使用されます。 JCERACFKS 鍵ストアは、Resource Access Control Facility (RACF®) によって管理および保管される証明書と鍵に使用できます。JCERACFKS 鍵ストアの Uniform Resource Identifier (URI) パス参照の形式は、safkeyring:///your_keyring_name です。
重要: この JCERACFKS 鍵ストア・タイプは、z/OS® プラットフォームでのみ使用可能です。
重要: アプリケーション・サーバー・プロファイルを生成する前に、プロファイル管理ツールを使用して、書き込み可能鍵リングのサポートを使用可能にする必要があります。書き込み可能鍵リングのサポートは、z/OS リリース 1.9、 または APAR OA22287 - RACF (または 同等のセキュリティー製品の APAR) および APAR OA22295 - SAF が適用された z/OS リリース 1.8 が 稼働している場合にのみ構成可能です。

このタスクについて

管理コンソールで以下のステップを実行します。

手順

  1. 「セキュリティー」>「SSL 証明書および鍵管理」とクリックします。「構成設定」の下で、「エンドポイント・セキュリティー構成の管理」 > {Inbound | Outbound} > ssl_configuration」をクリックします。「関連項目」において、 「鍵ストアおよび証明書」をクリックします。次に「新規作成」ボタンをクリックします。
  2. 名前」フィールドに名前を入力します。この名前により、構成内の鍵ストアが一意的に識別されます。
  3. パス」フィールドに鍵ストア・ファイルのロケーションを入力します。URI には、safkeyring (例えば、safkeyring:///your_keyring_name) が含まれている必要があります。
  4. パスワード」フィールドに、鍵ストア・パスワードを「password」として入力します。 パスワードの要求において JCE 鍵ストアとの互換性を保つため、JCERACFKS パスワードを「password」とします。この鍵ストアのセキュリティーは、他の鍵ストア・タイプとは異なり、パスワードによって本当に保護されるわけではなく、RACF による保護を受けるための実行スレッドの ID に基づいています。このパスワードは、「パス」フィールドで指定した鍵ストア・ファイル用のものです。
  5. 「タイプ」として JCERACFKS を選択し、残りのフィールドに適宜入力します。
  6. 読み取り専用」チェック・ボックスを選択解除します。
  7. 「制御領域ユーザー (control region user)」フィールドで、制御領域 SAF 鍵リングが作成されるときの制御領域開始タスクのユーザー ID (RACF ID) を指定します。このユーザー ID は、制御領域で使用される RACF ID と完全に一致する必要があります。
    注: このオプションは、z/OS で書き込み可能な SAF 鍵リングを作成している場合にのみ適用されます。
  8. 「サーバント領域ユーザー (servant region user)」フィールドで、サーバント領域 SAF 鍵リングが作成されるときのサーバント領域開始タスクのユーザー ID (RACF ID) を指定します。このユーザー ID は、サーバント領域で使用される RACF ID と完全に一致する必要があります。
    注: このオプションは、z/OS で書き込み可能な SAF 鍵リングを作成している場合にのみ適用されます。
  9. OK」をクリックし、「保存」をクリックしてこれらの変更をマスター構成に適用します。

タスクの結果

これで、SSL 接続の構成に鍵ストアを使用できるようになりました。2 つの追加鍵ストア・オブジェクトが作成され、管理コンソールからアクセスして、適切な鍵リングで証明書の書き込み操作を実行できます。 鍵ストア・オブジェクトは、your_keystore_name -CR および your_keystore_name -SR と命名されます。ここで your_store_name は、create コマンドで指定される鍵ストアの名前です。your_keystore_name -CR は、制御領域プロセスの RACF ID が所有する鍵リングに、your_keystore_name -SR は、サーバント領域プロセスの RACF ID が所有する鍵ストアにそれぞれ対応します。これらの鍵ストアは、your_keystore_name と同じ有効範囲で作成され、管理コンソールの your_keystore_name コレクション・パネルからアクセスできます。

次のタスク

SSL 構成のセットアップ時にこの鍵ストア・ファイルを使用すれば、 クライアント、サーバー間の通信をこれまでと同様に保護することができます。また、管理コンソールから、またはこのコマンドによって生成される書き込み可能鍵ストア構成でのコマンド・タスク・フレームワークで、証明書管理操作を実行することもできます。
RACF 鍵リングに関する考慮事項
証明書の削除
証明書が RACF 鍵リングから削除されても、RACF から 削除されるわけではありません。鍵リングから切断されるのみです。この証明書が 誤って鍵リングから除去された場合は、RACF 経由で再接続することができます。 証明書を RACF から完全に削除したい場合は、RACF 管理者に除去してもらう必要があります。
証明書のインポートとエクスポート
管理対象 SAF 鍵ストアへの証明書のインポート時、または同鍵ストアからの証明書のエクスポート時に、証明書が別のラベルで RACF に既に存在していると、インポートまたはエクスポート・コマンドで証明書に割り当てたラベルとは関係なく、その証明書は既存のラベルの鍵リングに接続されます。
証明書の更新
証明書は、RACF から物理的に削除されることはありません。既存の 証明書ラベルはそのまま RACF に存在しており、証明書を更新すると、 既存の証明書ラベルに _1、_2 などが付加され、証明書の別名 (ラベル) が 増えていきます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7createSAF_keyring
ファイル名:tsec_7createSAF_keyring.html