[z/OS]

RACF 키 링 설정

Java를 사용하여 RACF 키 저장소에 대한 RACFInputStream 작성

SSL 인증 프로세스 중에 WebSphere® Application Server는 PERSONAL 인증서로 연결하는 인증서를 KeyEntry로 간주합니다. 개인 키가 사용 가능하므로 SSL(Secure Sockets Layer) 핸드쉐이크에서 일반 사용자 인증서로 이 인증서를 사용할 수 있습니다.

WebSphere Application Server는 CERTAUTH 인증서로 연결하는 인증서를 TrustedCertEntry로 간주하고 이 인증서를 인증기관(CA)으로 처리합니다. 키 링에는 PERSONAL로 연결하는 인증서 및 CERTAUTH로 연결하는 CA 인증서가 필요합니다. SITE로 연결하는 인증서는 이 릴리스에서 지원되지 않습니다.

JSSE(Java™ Secure Socket Extension) 클라이언트와 서버가 신뢰 및 키 정보 둘 다에 사용할 수 있는 RACF® 키 링이 다음 샘플 코드에 표시되어 있습니다.
Certificate Label Name Cert Owner USAGE    DEFAULT
---------------------- ---------- -------- -------
PersonalEndUserCert    ID(USERID) PERSONAL YES
PersonalEndUserCACert  CERTAUTH   CERTAUTH NO
Java 환경에 인증 경로 제공자를 추가하여 WebSphere Application Server가 RACF(Resource Access Control Facility)에서 읽는 인증서로부터 인증 체인을 구성해야 합니다. 다음 행을 java.security 파일 제공자 목록에 추가하십시오.
security.provider.X=com.ibm.security.cert.IBMCertPath

RACF 인증서 중 하나가 로드에 실패하는 경우 키 저장소가 로드되지 않습니다. 키 링에서 원치 않는 인증서를 제거해야 합니다.

RACFInputStream에는 다음 세 개의 매개변수가 포함됩니다.
  • userid - 키 링을 소유하는 사용자의 ID를 포함하는 문자열
  • ringid - RACF 키 링의 이름을 포함하는 문자열
  • password - 키 저장소에 대한 비밀번호를 포함하는 문자 배열
다음 코드 예제는 사용자 ID, 링 ID 및 널 비밀번호를 직접 전달하는 RACFInputStream 스크립트를 보여줍니다.
import com.ibm.crypto.provider.RACFInputStream;

String ksfname;
char[] storePass = null;
              
RACFInputStream riStream = new RACFInputStream(System.getProperty("user.name"),
                                               ksfname, 
                                               storePass);
KeyStore racfKeyStore = KeyStore.getInstance("JCERACFKS");
racfKeyStore.load(riStream, storePass);                             
       
riStream.close();
이전 예제에서 시스템 특성 user.name은 WebSphere Application Server가 RACF에 전달하는 userID를 제공하기 위해 참조되었습니다. 이 예제는 일반적이지 않습니다.

RACFInputStream 스크립트 실행에 대한 자세한 정보는 Java 2 SDK, Standard Edition, v 6.0에 대한 z/OS 고유 고려사항 문서의 내용을 참조하십시오. 이 z/OS® 문서에 대한 링크는 이 주제의 관련 링크 섹션에서 제공됩니다.

URLStreamHandler를 사용하여 RACFInputStream에 액세스

이 릴리스에서 URLStreamHandler 오브젝트와 함께 사용자 정의 클래스를 통해 데이터에 액세스할 수 있습니다. WebSphere Application Server는 시스템 특성 java.protocol.handler.pkgs로 데이터에 액세스하는 클래스를 정의할 수 있습니다. SAF(Service Authorization Facility) RACF 키 링에 상주하는 데이터에 액세스하려면 연관된 클래스와 함께 safkeyring URL을 사용하십시오.
RACFInputStream을 작성하기 위해 URLStreamHandler 클래스를 사용하려면 다음 Java 특성을 정의하십시오.
-Djava.protocol.handler.pkgs
암호화 지원을 제공하기 위해 IBMJCE(IBM® Java Cryptography Extension) 제공자를 사용하는 경우 이 특성을 다음 값으로 설정하십시오.
-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
암호화 지원을 제공하기 위해 IBMJCE4758 제공자를 사용하는 경우 이 특성을 다음 값으로 설정하십시오.
-Djava.protocol.handler.pkgs=com.ibm.crypto.hdwrCCA.provider
URL을 사용하여 java.policy 파일에서 스트림 핸들러를 지정할 수 있습니다. jarsigner 유틸리티는 -keystore 매개변수에 URL도 허용합니다. RACF 키 링의 인증서가 서명된 jar 파일을 확인하는 경우 다음 예제 코드에 표시된 대로 WebSphere Application Server가 java.policy 파일의 키 저장소에 대한 입력 스트림으로 키 링을 사용하도록 지정할 수 있습니다.
keystore "safkeyring://myracfid/my_key_ring", " JCERACFKS";
이 예제에서
  • safkeyring은 서버가 키 링에서 데이터를 읽기 위해 URLStreamHandler 코드에 액세스하는 데 사용하는 URL 키워드입니다.
  • myracfid는 키 링에서 데이터를 읽을 수 있는 권한이 있는 RACF 사용자 ID입니다.
  • my_key_ring은 데이터를 읽을 키 링의 이름입니다.
  • JCERACFKS는 SAF(RACF) 키 링 키 저장소에 대해 정의된 키 저장소 유형입니다.
JVM(Java Virtual Machine)은 WebSphere Application Server가 적절한 URLStreamHandler를 호출할 수 있도록 java.protocol.handler.pkgs 특성이 이전에 설명한 값 중 하나로 설정된 상태에서 시작되어야 합니다.다음 예제는 safkeyring URL을 사용하는 jarsigner 유틸리티를 보여줍니다.
jarsigner -keystore safkeyring://myracfid/my_key_ring -signedjar
ibmjceproviders.jar ibmjceprovider.jar ibmprovider -storetype JCERACFKS 
RACF 외부 보안 관리자에서의 정보 삽입 또는 업데이트에 대한 자세한 정보는 다음 서적에서 RACDCERT 명령의 내용을 참조하십시오.
  • z/OS SecureWay Security Server RACF 보안 관리자 안내서 - SA22-7683
  • z/OS SecureWay Security Server RACF 공통 언어 참조 - SA22-7687

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_racfkeyringsetup
파일 이름:rsec_racfkeyringsetup.html