[z/OS]

ICSF および RACF 鍵ストアによる z/OS ハードウェア暗号方式の使用

Integrated Cryptographic Service Facility (ICSF) は z/OS システム上の ソフトウェアであり、鍵を保管できるハードウェアとのインターフェースの役目を 果たします。IBMJCECCARACFKS 鍵ストアは、Resource Access Control Facility (RACF) で管理されている証明書と鍵を処理します。証明書は RACF に保管されますが、鍵は ICSF にも RACF にも保管できます。鍵が RACF に保管されているか ICSF に保管されているかに関係なく、IBMJCECCARACFKS 鍵ストアがハードウェア暗号 (暗号化、暗号化解除、署名など) を利用できるようになります。

始める前に

このタスクを開始する前に、トピック「Web Services Securityでの ハードウェア暗号装置サポートの」の内容に精通している必要があります。

以下の点も確認してください。
  • RACF に証明書を配置するために必要なセットアップを完了してください。証明書を RACF 内に配置する方法については、システムで稼働している z/OS のバージョンの z/OS インフォメーション・センターを参照してください。
  • IBMJCECCA プロバイダーが使用する ICSF サービスに必要な CSFSERV アクセス権限を確認してください。これらのアクセス権について詳しくは、資料「Standard Edition, Hardware Cryptography IBMJCECCA Overview」を参照してください。この資料は、http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html にあります。
  • ICSF が実行中であることを確認してください。
注: この JCECCARACFKS 鍵ストア・タイプは、z/OS プラットフォームでのみ使用可能です。

このタスクについて

JCECCAKS 鍵ストアは、 ICSF で直接管理および保管する鍵に使用され、これを使用するためには、java.security ファイルで 指定したプロバイダー・リストに IBMJCECCA プロバイダーを含める必要があります。

JCECCARACFKS 鍵ストアは、RACF で管理する証明書や鍵に 使用されます。証明書は RACF に保管されますが、鍵は RACF にも ICSF にも 保管できます。JCECCARACFKS 鍵ストア・タイプを使用するには、java.security ファイルで 指定したプロバイダー・リストに IBMJCECCA プロバイダーを含める必要があります。 鍵がハードウェアに保管されていない場合でも、パフォーマンス暗号を利用してパフォーマンスを向上させることができます。

JCERACFKS 鍵ストアは、 IBMJCE プロバイダーまたは IBMJCECCA プロバイダーと一緒に使用されます。 JCERACFKS 鍵ストアは、RACF で管理および保管される証明書と鍵に 使用できます。IBMJCECCA プロバイダーの使用時にハードウェア暗号を利用して、パフォーマンスを向上させることができます。JCERACFKS 鍵ストアの URI パス参照は safkeyring:///your_keyring_name という形式です。

注: 鍵をハードウェアに保管する場合、RACF で新しい鍵を生成するには ICSF オプションを使用する必要があります。

手順

  1. 必要な ICSF サービスを開始します。 詳しくは、 JAVA および ICSF の資料を参照してください。
  2. Java セキュリティー・ファイル WAS_HOME/AppServer/properties を見つけます。 Java セキュリティー・ファイルは、SMP/E HFS 内の Java セキュリティー・ファイルへのシンボリック・リンクです。Java セキュリティー・ファイルのシンボリック・リンクを削除し、ファイル java.security を SMP/E HFS から WAS_HOME/AppServer/properties にコピーして、編集できるようにします。 java.security ファイル内のプロバイダー・リストで、以下の IBMJCECCA プロバイダーのコメントを外します。
    security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
  3. プロバイダー・リストの残りのプロバイダーに番号を付け直します。
  4. 「セキュリティー」>「SSL 証明書および鍵管理」> 「鍵ストアおよび証明書」と移動します。
  5. 新規」をクリックして、新規の鍵ストアを作成します。
  6. 鍵ストアにディレクトリー・パスを追加します。 URI には、 safkeyring ではなく safkeyringhw が含まれていなければなりません (例えば safkeyringhw:///your_keyring_name) が含まれている必要があります。
  7. 「タイプ」に「JCECCARACFKS」を選択して、 残りのフィールドに適宜入力します。

    トークン・ログインが必要な場合は、「パスワード」フィールドに鍵ストア・パスワードを入力します。

    パスワードの要求において JCE 鍵ストアとの互換性を保つため、JCERACFKS パスワードを password とします。この鍵ストアのセキュリティーは、他の鍵ストア・タイプとは異なり、パスワードによって本当に保護されるわけではなく、RACF による保護を受けるための実行スレッドの ID に基づいています。このパスワードは、「パス」フィールドで指定した鍵ストア・ファイル用のものです。

    トークン上の鍵を使用する操作には、セキュア・ログインが必要です。鍵ストアが暗号アクセラレーターとして使用される場合、このフィールドはオプションです。この場合は、「ハードウェア・デバイスに対する暗号操作を使用可能にする」オプションを選択する必要があります。

  8. OK」をクリックしてから「保管」をクリックして、 これらの変更をマスター構成に適用します。

    これらの変更を有効にするには、サーバーの再始動が必要な場合があります。

タスクの結果

これで、SSL 接続の構成に鍵ストアを使用できるようになりました。

次のタスク

SSL 構成のセットアップ時にこの鍵ストア・ファイルを使用すれば、 クライアント、サーバー間の通信をこれまで同様保護することができます。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_storecertkeysICSF
ファイル名:tsec_storecertkeysICSF.html