[z/OS]

쓰기 가능한 SAF 키 링 사용

WebSphere® Application Server는 WebSphere Application Server 관리자가 SAF 키 링을 위한 OCSF(Open Cryptographic Services Facility) 데이터 라이브러리 기능을 사용하여 SAF(System Authorization Facility) 키 링에서 특정 관리 오퍼레이션을 수행할 수 있도록 허용하는 기능을 제공합니다. 이 태스크는 기존 구성을 마이그레이션하고 쓰기 가능한 SAF 키 링을 사용 가능하게 합니다.

시작하기 전에

이 태스크는 프로파일 작성을 통해 쓰기 가능한 지원이 사용 가능하지 않은 키 저장소 오브젝트를 마이그레이션하는 데 사용됩니다. 쓰기 가능한 키 링 지원은 z/OS® 릴리스 1.9 또는 z/OS 릴리스 1.8을 APAR OA22287 - 자원 액세스 제어 기능(RACF®)(또는 이에 상당하는 APAR 보안 제품) 및 APAR OA22295 – SAF와 함께 실행할 때에만 구성 가능합니다.

이 태스크를 시작하기 전에, wsadmin 도구가 실행 중이어야 합니다. wsadmin 스크립트 클라이언트 시작에 대한 정보를 참조하십시오.

이 태스크 정보

기본적으로 프로파일 관리 동안에 쓰기 가능한 키 링 지원이 사용 가능하면 기본 키 저장소 구성이 쓰기 가능한 키 링에 사용 가능하게 됩니다. 또는 이전 WebSphere Application Server 설치에서 마이그레이션하는 경우에는 다음 단계를 사용하여 키 저장소 오브젝트에 쓰기 가능한 키 링을 사용 가능으로 설정할 수 있습니다.

AdminTask는 대화식 모드와 일괄처리 모드에서 사용될 수 있습니다. 자동화를 위해 일괄처리 모드 옵션이 사용되어야 합니다. AdminTask 일괄처리 모드는 JACL 또는 Jython 스크립트에서 호출될 수 있습니다. 대화식 모드는 태스크가 필요로 하는 모든 매개변수를 단계별로 안내해주고, 필수 매개변수는 "*"가 표시되어 있습니다. AdminTask가 태스크를 실행하기 전에 태스크의 일괄처리 모드 구문을 화면에 반향시킵니다. 이는 자동화를 위해 일괄처리 모드 스크립트를 쓸 때 유용할 수 있습니다.

다음 속성은 쓰기 가능한 SAF 열쇠 고리 키 저장소 오브젝트를 작성하는 데 필요합니다.
  • keyStoreName
  • controlRegionUser
  • servantRegionUser

쓰기 가능한 SAF 키 링을 사용 가능으로 설정하기 위한 대화식 모드 프로시저는 다음과 같습니다.

프로시저

  1. 대화식 모드를 사용하여 모든 속성을 단계별로 안내받고 원하는 경우 속성에 기본값을 사용할 수 있습니다.
    기본값은 프롬프트 행에 "[]"에 있습니다. 일괄처리 모드에 사용되는 실제 플래그는 각 프롬프트 행에서 "()"에 있습니다. 기본값을 사용 중인 경우에는 플래그는 일괄처리 명령행에 나타나지 않습니다.
    • Jacl 사용:
      $AdminTask enableWritableKeyrings -interactive
    • Jython 사용:
      AdminTask.enableWritableKeyings ('[interactive]')
  2. 다음은 (1) 단계로부터의 결과물의 예입니다.
    *Keystore Name (keyStoreName): NodeDefaultKeyStore
    Management Scope Name (scopeName):
    *Control region userid for z/OS (SAF) (controlRegionUser): CRRACFID
    *Servant region userid for z/OS (SAF) (servantRegionUser): SRRACFID
    
    Modify keystore for writable SAF support
    
    F (Finish)
    C (Cancel)
    
    Select [F, C]: [F] F
    WASX7278I: Generated command line: $AdminTask enableWritableKeyrings {-keyStoreName NodeDefaultKeyStore 
    -controlRegionUser CRRACFID -servantRegionUser SRRACFID })

결과

적합한 키 링에서 인증서 오퍼레이션을 수행하기 위해 관리 콘솔을 통해 액세스될 수 있는 두 개의 추가 키 저장소 오브젝트가 작성됩니다. 키 저장소 오브젝트는 your_keystore_name -CRyour_keystore_name -SR로 이름이 지정되고, 여기서 your_keystore_name은 작성 명령에 지정된 키 저장소의 이름입니다.

your_keystore_name -CR은 제어 리젼 프로세스의 RACF ID가 소유하는 키 링에 해당하고 your_keystore_name -SR은 서번트 리젼 프로세스의 RACF ID가 소유하는 키 저장소에 해당합니다.

이러한 키 저장소는 your_keystore_name과 같은 범위에서 작성되고 your_keystore_name 수집 패널에서 관리 콘솔을 사용하여 액세스할 수 있습니다.

다음에 수행할 작업

쓰기 가능한 SAF 키 링 액세스:
  1. 보안 > SSL 인증서 및 키 관리 > 엔드포인트 보안 구성 관리 > {인바운드 | 아웃바운드} > ssl_configuration > 키 저장소 및 인증서 > [키 저장소]를 클릭하십시오.
  2. 쓰기 가능한 SAF 키 링 아래에서 제어 리젼 키 링 또는 서번트 리젼 키 링을 클릭하여 제어 리젼 키 링 또는 서번트 리젼 키 링에 대해 각각 키 저장소 수집 패널을 표시하십시오.
  3. 추가 특성 아래에서 인증서 수집 패널로 이동하여 인증서 관리 오퍼레이션을 수행하십시오.

주제 유형을 표시하는 아이콘 태스크 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7enableSAF_keyring
파일 이름:tsec_7enableSAF_keyring.html