[z/OS]

ルート証明書鍵リングの構成

WebSphere® Application Server には、WebSphere Application Server 管理者が、System Authorization Facility (SAF) 鍵リングの OCSF (Open Cryptographic Services Facility) Data ライブラリー機能を利用することによって、SAF 鍵リングで証明書管理操作を実行できるようにするための機能があります。このタスクでは、ルート証明書鍵リングを構成します。

始める前に

アプリケーション・サーバー・プロファイルを生成する前に、プロファイル管理ツールを使用して、書き込み可能鍵リングのサポートを使用可能にする必要があります。書き込み可能鍵リングのサポートは、z/OS® リリース 1.9、 または APAR OA22287 - Resource Access Control Facility (RACF®) (または 同等のセキュリティー製品の APAR) および APAR OA22295 - SAF が適用された z/OS リリース 1.8 が 稼働している場合にのみ構成可能です。

このタスクについて

ルート認証局 (CA) 証明書は、WebSphere Application Server の他の証明書に署名するために使用されます。デフォルトでは、プロファイル管理中に、デフォルト・ルート鍵リング (デプロイメント・マネージャーの NodeDefaultRootStore または DmgrDefaultRootStore) とルート CA 証明書が自動的に構成されます。あるいは、前の WebSphere Application Server インストールからのマイグレーションの場合は、以下のステップを使用して鍵ストア・オブジェクトのルート鍵リングをセットアップできます。

手順

  1. ご使用のサーバーの制御領域 RACF ID 用の鍵リングを作成します。例えば、ご使用のサーバーが CRRACFID という RACF ユーザー ID で稼働している場合は、以下のコマンドを発行します。
    RACDCERT ADDRING(keyring_name.Root) ID(CRRACFID)
    CRRACFID は、そのアプリケーション・サーバー制御領域の RACF ID です。keyring_name は、セルのサーバーが使用する z/OS 鍵リングの名前です。
  2. ルート CA 証明書によってチェーン証明書を作成するには、ステップ (1) で作成される鍵リングに、ご使用の WebSphere Application Server インストール用に生成された公開鍵/秘密鍵 CA 証明書を含める必要があります。証明書を接続するには、以下のステップを実行する必要があります。

    ご使用のインストールでのルート CA 証明書のラベル名を判別し、以下のコマンドを発行します。

    RACDCERT ID(CRRACFID) CONNECT (RING(keyring_name.Root) LABEL('rootcalabel') CERTAUTH USAGE(PERSONAL))
    CRRACFID は、そのアプリケーション・サーバー制御領域の RACF ID です。keyring_name は、セルのサーバーが使用する z/OS 鍵リングの名前です。rootcalabel は、ルート CA 証明書です。
  3. NodeDefaultRootStore (デプロイメント・マネージャーの場合は DmgrDefaultRootStore) を、ステップ (1) で作成した鍵リングを指すように変更します。
    1. セキュリティー」>「SSL 証明書および鍵管理」>「鍵ストアおよび証明書」をクリックします。
    2. 「鍵ストアの使用 (Keystore usages)」の下で、「ルート証明書鍵ストア (Root Certificates Keystore)」を選択します。
    3. NodeDefaultRootStore (デプロイメント・マネージャーの場合は DmgrDefaultRootStore ) を選択します。
    4. 「一般プロパティー」で、以下を実行します。
      1. パスを変更します。
        safkeyring://CRRACFID/keyring_name.Root

        CRRACFID は、そのアプリケーション・サーバー制御領域の RACF ID です。keyring_name は、セルのサーバーが使用する z/OS 鍵リングの名前です。

      2. タイプを JCERACFKS に変更します。
      3. パスワード password を入力します。
    5. 適用」をクリックします。

タスクの結果

これらのステップが完了すると、個人使用タイプの ルート CA 証明書を含む z/OS 鍵リングが新規に作成されます。

次のタスク

鍵ストアが正常に変更されていることを確認します。
  1. 「追加プロパティー」の下の「鍵ストア・コレクション (Keystore collection)」で、「個人証明書」をクリックします。
  2. 証明書がリストに表示されることを確認します。
既知のエラー状態
  • 新規鍵リングを作成しようとすると、以下のエラー・メッセージが表示される場合があります。
    R_datalib (IRRSDL00) エラー: 1 つ以上の更新を完了できませんでした。(R_datalib (IRRSDL00) error: One or more updates could not be completed.) 要求された Function_code は定義されていません。 関数コード: (7) 戻りコード: (8, 8, 20) (Function code: (7) Return Codes: (8, 8, 20))
    このメッセージは、ユーザーが新規鍵リングの作成を試みたものの、ネイティブの書き込み可能サポートがインストールされていなかったことを示します。z/OS リリース 1.9、または APAR OA22287 と OA22295 が適用されたリリース 1.8 が稼働している必要があります。
  • SAF 鍵リングで書き込み操作を実行しようとしたり、証明書の作成または削除などの操作を試みたりするときに、以下のメッセージが表示される場合があります。
    エラー・メッセージ: 鍵ストアを作成しようとしてエラーが発生しました: R_datalib (IRRSDL00) エラー: 1 つ以上の更新を完了できませんでした。(Error Message: An error occurred creating the key store: R_datalib (IRRSDL00) error: One or more updates could not be completed.) 要求されたサービスを使用する RACF 権限が与えられていません。関数コード: (7) 戻りコード: (8, 8, 8) (Function code: (7) Return Codes: (8, 8, 8))
    このメッセージは、正しい RACF 権限を定義していない場合に表示されます。z/OS Internet Library http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ の文書「Defining RACF authority for Clients and Servers」を参照してください。
  • 基本となる鍵リングが RACF に存在しない場合に、書き込み操作を実行しようとすると、以下のメッセージが表示される場合があります。
    R_datalib (IRRSDL00) error: profile for ring not found (8, 8, 84)
    証明書管理の書き込み操作を実行する前に、鍵リングが RACF に存在することを確認してください。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7configureSAF_keyring
ファイル名:tsec_7configureSAF_keyring.html