[z/OS]

ICSF과 RACF 키 저장소를 활용하는 z/OS 하드웨어 암호화 사용

ICSF(Integrated Cryptographic Service Facility)는 키를 저장할 수 있는 인터페이스로서의 역할을 하는 z/OS 시스템 상의 소프트웨어입니다. IBMJCECCARACFKS 키 저장소는 RACF(Resource Access Control Facility)에서 관리되는 인증서 및 키를 처리합니다. 인증서는 RACF에 저장되지만 키를 ICSF 또는 RACF에 저장할 수 있습니다. IBMJCECCARACFKS 키 저장소는 키가 RACF 또는 ICSF에 저장되는지 여부와 관계 없이 암호화, 복호화 및 서명 등과 같은 하드웨어 암호화 공격을 달성합니다.

시작하기 전에

이 태스크를 시작하기 전에 웹 서비스 보안을 위해 하드웨어 비밀번호용 디바이스 지원 주제의 컨텐츠에 익숙해져야 합니다.

또한 다음을 수행하십시오.
  • 인증서를 RACF에 배치하기 위해 필요한 설정이 완료되었는지 확인하십시오. 사용자의 인증서를 RACF에 배치하는 방법에 대한 자세한 정보는 시스템에서 실행 중인 z/OS의 버전에 해당하는 z/OS Information Center를 참조하십시오.
  • IBMJCECCA 제공자가 사용하는 ICSF 서비스에 필요한 CSFSERV 액세스 권한을 아십시오. 이러한 액세스 권한에 대한 자세한 정보는 문서 Standard Edition, Hardware Cryptography IBMJCECCA Overview를 참조하십시오. 이 문서는 http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html에 있습니다.
  • ICSF가 실행 중인지 확인하십시오.
참고: JCECCARACFKS 키 저장소 유형은 z/OS 플랫폼에서만 사용 가능합니다.

이 태스크 정보

JCECCAKS 키 저장소는 ICSF에서 직접 관리하고 저장하는 키에 사용되고 java.security 파일에 지정된 제공자 목록에 IBMJCECCA 제공자를 포함해야 합니다.

JCECCARACFKS 키 저장소는 RACF에서 관리하는 인증서 및 키에 사용됩니다. 인증서를 RACF에 저장하고, 키를 RACF 또는 ICSF에 저장할 수 있습니다. JCECCARACFKS 키 저장소 유형은 IBMJCECCA 제공자를 java.security 파일에 지정한 제공자 목록에 포함해야 합니다. 키가 하드웨어에 저장되지 않았더라도 성능상의 이익을 위해 하드웨어 암호화 공격을 달성할 수 있습니다.

JCERACFKS 키 저장소는 IBMJCE 제공자 또는 IBMJCECCA 제공자와 함께 사용됩니다. RACF가 관리하고 저장하는 인증서 및 키에 JCERACFKS 키 저장소를 사용할 수 있습니다. IBMJCECCA 제공자를 사용할 때 성능상의 이익을 위해 하드웨어 암호화 공격을 달성할 수 있습니다. JCERACFKS 키 저장소를 위한 URI 경로 참조는 safkeyring:///your_keyring_name의 양식입니다.

참고: 키가 하드웨어에 저장될 예정인 경우 RACF에서 새 키를 생성하려면 ICSF 옵션을 사용해야 합니다.

프로시저

  1. 필요한 ICSF 서비스를 시작하십시오. 자세한 정보는 JAVA 및 ICSF 문서를 참조하십시오.
  2. java 보안 파일 WAS_HOME/AppServer/properties를 찾으십시오. java 보안 파일은 SMP/E HFS에서 java 보안 파일에 대한 기호 링크입니다. java 보안 파일 기호 링크를 삭제하고 java.security 파일을 편집할 수 있도록 SMP/E HFS에서 WAS_HOME/AppServer/properties로 복사하십시오. java.security 파일에서 제공자 목록에 있는 다음 IBMJCECCA 제공자를 주석 해제하십시오.
    security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
  3. 제공자 목록에서 나머지 제공자를 다시 번호 지정하십시오.
  4. 보안 > SSL 인증서 및 키 관리 > 키 저장소 및 인증서를 탐색하십시오.
  5. 새 키 저장소를 작성하려면 새로 작성을 클릭하십시오.
  6. 키 저장소에 디렉토리 경로를 추가하십시오. URI은 safkeyring 대신에 safkeyringhw를 포함해야 합니다(예: safkeyringhw:///your_keyring_name).
  7. 유형에 JCECCARACFKS를 선택하고 나머지 필드를 적절하게 완료하십시오.

    토큰 로그인이 요구되면 비밀번호 필드에 키 저장소 password를 입력하십시오.

    비밀번호를 요구할 때 JCE 키 저장소와 호환 가능하려면 JCERACFKS 비밀번호는 password입니다. 이 키 저장소의 보안은 비밀번호를 다른 키 저장소 유형으로서 사용하여 실제로 보호되지 않고 RACF를 사용하여 보호를 위해 실행 스레드의 ID를 기반으로 합니다. 이 비밀번호는 경로 필드에 지정한 키 저장소 파일용입니다.

    토큰에 키를 사용하는 오퍼레이션은 보안 로그인을 요구합니다. 키 저장소가 비밀번호 가속기로서 사용되면 이 필드는 선택적입니다. 이 경우 하드웨어 디바이스에서 비밀번호 오퍼레이션 사용 옵션을 선택해야 합니다.

  8. 확인을 클릭한 후 저장을 클릭하여 이러한 변경사항을 마스터 구성에 적용하십시오.

    이러한 변경사항을 적용하려면 서버를 다시 시작해야 할 수도 있습니다.

결과

키 저장소는 이제 SSL 연결을 구성하기 위해 사용할 수 있습니다.

다음에 수행할 작업

SSL 구성을 설정할 때 이 키 저장소를 사용하여 클라이언트와 서버 간에 보안 통신을 계속할 수 있습니다.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_storecertkeysICSF
파일 이름:tsec_storecertkeysICSF.html