[z/OS]

루트 인증서 키 링 구성

WebSphere® Application Server는 WebSphere Application Server 관리자가 SAF 키 링을 위한 OCSF(Open Cryptographic Services Facility) 데이터 라이브러리 기능을 사용하여 SAF(System Authorization Facility) 키 링에서 특정 관리 오퍼레이션을 수행할 수 있도록 허용하는 기능을 제공합니다. 이 태스크는 루트 인증서 키 링을 구성합니다.

시작하기 전에

Application Server 프로파일을 생성하기 전에 프로파일 관리 도구를 사용하여 쓰기 가능한 키 링에 대한 지원을 사용으로 설정해야 합니다. 쓰기 가능한 키 링 지원은 z/OS® 릴리스 1.9 또는 z/OS 릴리스 1.8을 APAR OA22287 - 자원 액세스 제어 기능(RACF®)(또는 이에 상당하는 APAR 보안 제품) 및 APAR OA22295 – SAF와 함께 실행할 때에만 구성 가능합니다.

이 태스크 정보

루트 인증 기관(CA) 인증서가 WebSphere Application Server의 다른 인증서에 서명하기 위해 사용됩니다. 기본적으로 프로파일 관리 동안에 기본 루트 키 링(배치 관리자의 경우 NodeDefaultRootStore 또는 DmgrDefaultRootStore) 및 루트 CA 인증서는 자동으로 구성됩니다. 또는 이전 WebSphere Application Server 설치에서 마이그레이션하는 경우에는 다음 단계를 사용하여 키 저장소 오브젝트에 루트 키 링을 설정할 수 있습니다.

프로시저

  1. 서버의 제어 리젼 RACF ID를 위한 키 링을 작성하십시오. 예를 들어, 서버가 CRRACFID라는 RACF 사용자 ID를 사용하여 실행 중인 경우에는 다음 명령을 실행하십시오.
    RACDCERT ADDRING(keyring_name.Root) ID(CRRACFID)
    CRRACFID는 Application Server 제어 리젼을 위한 RACF ID입니다. keyring_name은 셀에서 서버에 의해 사용되는 z/OS 키 링의 이름입니다.
  2. 루트 CA 인증서를 사용하여 체인 연결된 인증서를 작성하려면 단계 (1)에서 작성된 키 링에는 WebSphere Application Server 설치를 위해 생성된 공용/개인 키 CA 인증서를 포함해야 합니다. 인증서에 연결하려면 다음 단계를 완료해야 합니다.

    설치의 루트 CA 인증서의 레이블 이름을 판별하고 다음 명령을 실행하십시오.

    RACDCERT ID(CRRACFID) CONNECT (RING(keyring_name.Root) LABEL('rootcalabel') CERTAUTH USAGE(PERSONAL))
    CRRACFID는 Application Server 제어 리젼을 위한 RACF ID입니다. keyring_name은 셀에서 서버에 의해 사용되는 z/OS 키 링의 이름입니다. rootcalabel은 루트 CA 인증서입니다.
  3. NodeDefaultRootStore(배치 관리자의 경우 DmgrDefaultRootStore)를 단계 (1)에서 작성된 키 링을 가리키도록 수정하십시오.
    1. 보안 > SSL 인증서 및 키 관리 > 키 저장소 및 인증서를 클릭하십시오.
    2. 키 저장소 사용법 아래에서 루트 인증서 키 저장소를 선택하십시오.
    3. NodeDefaultRootStore(또는 배치 관리자의 경우 DmgrDefaultRootStore)를 선택하십시오.
    4. 일반 특성 아래에서
      1. 경로를 수정하십시오.
        safkeyring://CRRACFID/keyring_name.Root

        CRRACFID는 Application Server 제어 리젼을 위한 RACF ID입니다. keyring_name은 셀에서 서버에 의해 사용되는 z/OS 키 링의 이름입니다.

      2. 유형을 JCERACFKS로 변경하십시오.
      3. 비밀번호, password를 입력하십시오.
    5. 적용을 클릭하십시오.

결과

이러한 단계를 완료한 후 개인 용도로 첨부된 루트 CA 인증서를 포함하는 z/OS 키 링이 작성됩니다.

다음에 수행할 작업

키 저장소가 성공적으로 수정되었는지 확인하십시오.
  1. 키 저장소 수집 패널의 추가 특성 아래에서 개인 인증서를 클릭하십시오.
  2. 인증서가 목록에 나타나는지 확인하십시오.
알려진 오류 조건
  • 새 키 링을 작성하려고 시도할 때 다음 오류 메시지가 발생할 수 있습니다.
    R_datalib (IRRSDL00) error: One or more updates could not be completed.
    Requested Function_code not defined.
    Function code: (7) Return Codes: (8, 8, 20)
    이 메시지는 새 키 링을 작성하려고 시도했고 기본 쓰기 가능한 지원이 설치되지 않았음을 나타냅니다. z/OS 릴리스 1.9 또는 1.8에서 APAR의 OA22287 및 OA22295와 함께 실행 중이어야 합니다.
  • 다음 메시지는 SAF 키 링에서 쓰기 오퍼레이션을 수행하거나 인증서를 작성하거나 삭제하는 등의 오퍼레이션을 수행하려고 시도할 때 발생할 수 있습니다.
    Error Message: An error occurred creating the key store: R_datalib (IRRSDL00) error: One or more updates could not be completed.
    Not RACF authorized to use the requested service. Function code: (7) Return Codes: (8, 8, 8)
    이 메시지는 올바른 RACF 권한을 정의하지 않은 경우에 받게 됩니다. z/OS 인터넷 라이브러리 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/에서 클라이언트 및 서버에 대한 RACF 권한 정의 문서를 참조하십시오.
  • 기본 키 링이 RACF에 존재하지 않으면 쓰기 오퍼레이션을 수행할 때 다음 메시지가 발생할 수 있습니다.
    R_datalib (IRRSDL00) error: profile for ring not found (8, 8, 84)
    인증서 관리 쓰기 오퍼레이션을 수행하기 전에 키 링이 RACF에 존재하는지 확인하십시오.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7configureSAF_keyring
파일 이름:tsec_7configureSAF_keyring.html