[z/OS]

Criando Anéis de Chave de SAF Graváveis

O WebSphere fornece uma função que permite que um administrador do WebSphere realize as operações de gerenciamento de certificado nos anéis de chave de SAF (System Authorization Facility), utilizando as funções de biblioteca de dados de OCSF (Open Cryptographic Services Facility) para os anéis de chave de SAF. Essa tarefa cria novas configurações de armazenamento de chaves e seus anéis de chave associados.

Antes de Iniciar

O armazenamento de chaves JCERACFKS é utilizado com o provedor IBMJCE ou o provedor IBMJCECCA. É possível utilizar o armazenamento de chaves JCERACFKS para obter certificados e chaves que são gerenciados e armazenados pelo RACF (Resource Access Control Facility). A referência do caminho do URI (Identificador Uniforme de Recursos) para o armazenamento de chaves JCERACFKS está no formato safkeyring:///your_keyring_name.
Atenção: O tipo de armazenamento de chave JCERACFKS está disponível apenas para plataforma z/OS.
Importante: É necessário ativar o suporte dos anéis de chave graváveis utilizando a ferramenta de gerenciamento de perfil antes de criar os perfis do servidor de aplicativos. O suporte do anel de chave gravável é configurável apenas se for executado no z/OS Release 1.9 ou no z/OS Release 1.8 com APAR OA22287 - RACF (ou o APAR de seu produto de segurança equivalente) e APAR OA22295 – SAF.

Sobre Esta Tarefa

Conclua as seguintes etapas no console administrativo:

Procedimento

  1. Clique em Segurança > Certificado SSL e gerenciamento de chaves. Em Definições de configuração, clique em Gerenciar configurações de segurança do terminal > {Entrada | Saída} > ssl_configuration. Em Itens Relacionados, clique em Armazenamentos de Chaves e Certificados. Em seguida, clique no botão Novo.
  2. Digite um nome no campo Nome. Esse nome identifica exclusivamente o armazenamento de chave na configuração.
  3. Digite o local do arquivo de armazenamento de chave no campo Caminho. O URI deve conter safkeyring, por exemplo, safkeyring:///your_keyring_name.
  4. Digite a senha do armazenamento de chaves no campo Senha como "senha". Para que seja compatível com o armazenamento de chaves JCE na solicitação de uma senha, a senha JCERACFKS deverá ser "senha". A segurança desse armazenamento de chaves na realidade não protege o uso de uma senha com outros tipos de armazenamento de chaves, já que ela baseia-se na identidade do encadeamento de execução para proteção com o RACF. Essa senha destina-se ao arquivo de armazenamento de chaves que você especificou no campo Caminho.
  5. Selecione JCERACFKS para Tipo e preencha o restante dos campos conforme apropriado.
  6. Desmarque a caixa de opção Somente leitura.
  7. No campo do usuário da região de controle, especifique o ID do usuário da tarefa iniciada na região de controle (ID do RACF) no qual o anel de chave de SAF da região de controle foi criado. O ID do usuário deve corresponder com o ID do RACF exato que está sendo utilizado pela região de controle.
    Nota: Essa opção é aplicada apenas ao criar anéis de chave de SAF graváveis no z/OS.
  8. No campo do usuário da região servidora, especifique o ID do usuário da tarefa iniciada da região servidora (ID do RACF) no qual o anel de chave de SAF da região servidora foi criado. O ID do usuário deve corresponder ao ID do RACF exato que está sendo utilizado pela região servidora.
    Nota: Essa opção é aplicada apenas ao criar anéis de chave de SAF graváveis no z/OS.
  9. Clique em OK e depois em Salvar para aplicar essas alterações na configuração principal.

Resultados

Um armazenamento de chaves agora está disponível para configurar as conexões SSL. Dois objetos adicionais do armazenamento de chaves são criados, que podem ser acessados pelo console administrativo para realizar operações de gravação de certificados no anel de chave apropriado. Os objetos de armazenamento de chave são chamados de your_keystore_name -CR e your_keystore_name -SR, em que your_store_name é o nome do armazenamento de chaves especificado no comando de criação. your_keystore_name -CR corresponde ao anel de chave possuído pelo ID do RACF do processo da região de controle, e your_keystore_name -SR corresponde ao armazenamento de chaves possuído pelo ID do RACF do processo de região servidora. Esses armazenamentos de chaves são criados no mesmo escopo que your_keystore_name e podem ser acessados a partir do console administrativo no painel de coleções your_keystore_name .

O que Fazer Depois

É possível continuar protegendo a comunicação entre o cliente e o servidor utilizando esse arquivo de armazenamento de chaves ao definir uma configuração do SSL. Além disso, você poderá agora realizar as operações de gerenciamento de certificados a partir do console administrativo ou da estrutura de tarefa de comando nas configurações de armazenamento de chaves graváveis geradas por esse comando.
Configuração do Conjunto de Chaves RACF
Exclusão de Certificado
Quando um certificado é excluído de um conjunto de chaves RACF, o certificado não é excluído do RACF. Ele só é desconectado do conjunto de chaves. O certificado pode ser reconectado através do RACF se for removido acidentalmente do conjunto de chaves. Se desejar que o certificado seja completamente excluído do RACF, ele deve ser removido pelo administrador do RACF.
Importação e Exportação de Certificados
Durante a importação e a exportação de certificados em conjuntos de chaves SAF gerenciados, se o certificado já existir no RACF com um rótulo diferente, ele será conectado ao conjunto de chaves com o rótulo existente, independentemente do rótulo que você designar ao certificado com os comandos de exportação e importação.
Renovação de Certificados
Certificados não são excluídos fisicamente do RACF. O rótulo do certificado existente ainda existe no RACF e a renovação dos certificados aumentará o alias (rótulo) do certificado anexando _1, _2, etc. ao rótulo do certificado existente.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7createSAF_keyring
Nome do arquivo: tsec_7createSAF_keyring.html