[z/OS]

쓰기 가능 SAF 키 링 작성

WebSphere®는 WebSphere 관리자가 SAF 키 링을 위한 OCSF(Open Cryptographic Services Facility) 데이터 라이브러리 기능을 사용하여 SAF(System Authorization Facility) 키 링에서 특정 관리 오퍼레이션을 수행할 수 있도록 허용하는 기능을 제공합니다. 이 태스크는 새 키 저장소 구성 및 해당 연관된 키 링을 작성합니다.

시작하기 전에

JCERACFKS 키 저장소는 IBMJCE 제공자 또는 IBMJCECCA 제공자와 함께 사용됩니다. 자원 액세스 제어 기능(RACF®)에 의해 관리되고 저장되는 인증서 및 키에 대해 JCERACFKS 키 저장소를 사용할 수 있습니다. JCERACFKS 키 저장소의 URI(Uniform Resource Identifier) 경로 참조는 safkeyring:///your_keyring_name의 양식으로 되어 있습니다.
주의: JCERACFKS 키 저장소 유형은 z/OS® 플랫폼에서만 사용 가능합니다.
중요사항: Application Server 프로파일을 생성하기 전에 프로파일 관리 도구를 사용하여 쓰기 가능한 키 링에 대한 지원을 사용으로 설정해야 합니다. 쓰기 가능한 키링 지원은 z/OS 릴리스 1.9 또는 z/OS 릴리스 1.8(APAR OA22287 - RACF(또는 이와 동등한 보안 제품용 APAR) 및 APAR OA22295 - SAF 포함)에서 실행 중일 때만 구성이 가능합니다.

이 태스크 정보

관리 콘솔에서 다음 단계를 완료하십시오.

프로시저

  1. 보안 > SSL 인증서 및 키 관리를 클릭하십시오.구성 설정값 아래에서 엔드포인트 보안 구성 관리 > {인바운드 | 아웃바운드} > ssl_configuration을 클릭하십시오. 관련 항목 아래에서 키 저장소 및 인증서를 클릭하십시오. 그런 다음 새로 작성 단추를 클릭하십시오.
  2. 이름 필드에 이름을 입력하십시오. 이 이름은 구성에서 키 저장소를 고유하게 식별합니다.
  3. 경로 필드에 키 저장소 파일의 위치를 입력하십시오. URI는 safkeyring을 포함해야 합니다(예: safkeyring:///your_keyring_name).
  4. 비밀번호 필드에 키 저장소 비밀번호를 "password"로서 입력하십시오. 비밀번호를 요구할 때 JCE 키 저장소와 호환 가능하려면 JCERACFKS 비밀번호는 "password"입니다. 이 키 저장소의 보안은 비밀번호를 다른 키 저장소 유형으로서 사용하여 실제로 보호되지 않고 RACF를 사용하여 보호를 위해 실행 스레드의 ID를 기반으로 합니다. 이 비밀번호는 경로 필드에 지정한 키 저장소 파일용입니다.
  5. 유형에 JCERACFKS를 선택하고 나머지 파일을 적절하게 완료하십시오.
  6. 읽기 전용 선택란을 선택 취소하십시오.
  7. 제어 리젼 사용자 필드의 경우 제어 리젼 SAF 키 링이 작성된 제어 리젼 시작 태스크 사용자 ID(RACF ID)를 지정하십시오. 사용자 ID는 제어 리젼이 사용 중인 RACF ID와 정확히 일치해야 합니다.
    참고: 이 옵션은 z/OS에서 쓰기 가능한 SAF 키 링을 작성할 때만 적용됩니다.
  8. 서번트 리젼 사용자 필드의 경우 서번트 리젼 SAF 키 링이 작성되는 서번트 리젼 시작 태스크 사용자 ID(RACF ID)를 지정하십시오. 사용자 ID는 서번트 리젼이 사용 중인 RACF ID와 정확히 일치해야 합니다.
    참고: 이 옵션은 z/OS에서 쓰기 가능한 SAF 키 링을 작성할 때만 적용됩니다.
  9. 확인을 클릭한 후 저장을 클릭하여 이러한 변경사항을 마스터 구성에 적용하십시오.

결과

키 저장소는 이제 SSL 연결을 구성하기 위해 사용할 수 있습니다. 적합한 키 링에서 인증서 쓰기 오퍼레이션을 수행하기 위해 관리 콘솔을 통해 액세스될 수 있는 두 개의 추가 키 저장소 오브젝트가 작성됩니다. 키 저장소 오브젝트는 your_keystore_name -CRyour_keystore_name -SR로 이름이 지정되고, 여기서 your_store_name은 작성 명령에 지정된 키 저장소의 이름입니다. your_keystore_name -CR은 제어 리젼 프로세스의 RACF ID가 소유하는 키 링에 해당하고 your_keystore_name -SR은 서번트 리젼 프로세스의 RACF ID가 소유하는 키 저장소에 해당합니다. 이러한 키 저장소는 your_keystore_name과 같은 범위에서 작성되고 your_keystore_name 수집 패널에서 관리 콘솔로부터 액세스할 수 있습니다.

다음에 수행할 작업

SSL 구성을 설정할 때 이 키 저장소를 사용하여 클라이언트와 서버 간에 보안 통신을 계속할 수 있습니다. 또한 이 명령으로 생성된 쓰기 가능한 키 저장소 구성에서 명령 태스크 프레임워크 또는 관리 콘솔로부터 인증서 관리 오퍼레이션을 수행할 수도 있습니다.
RACF 키 링 고려사항
인증서 삭제
인증서가 RACF 키 링에서 삭제될 때 인증서는 RACF에서 삭제되지 않습니다. 이는 키 링에서 연결이 끊길 뿐입니다. 인증서가 키 링에서 실수로 제거된 경우에는 RACF를 통해 다시 연결할 수 있습니다. 인증서를 RACF에서 완전히 삭제하려면 RACF 관리자가 이를 제거해야 합니다.
인증서 가져오기 및 내보내기
인증서를 관리되는 SAF 키 저장소에서 가져오거나 내보내는 동안 인증서가 이미 다른 레이블 하에 RACF에 존재하면 가져오기 또는 내보내기 명령에서 인증서에 지정하는 레이블과 관계 없이 기존 레이블을 사용하여 키 링에 연결됩니다.
인증서 갱신
인증서는 RACF에서 물리적으로 삭제되지 않습니다. 기존 인증서 레이블은 여전히 RACF에 존재하고 인증서를 갱신하면 기존 인증서 레이블에 _1, _2, 등등을 추가하여 인증서의 별명(레이블)이 증가됩니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7createSAF_keyring
파일 이름:tsec_7createSAF_keyring.html