[z/OS]

Utilizando Anéis de Chaves do System Authorization Facility com o Java Secure Sockets Extension

Os clientes do WebSphere Application Server para z/OS executando o servidor W50100x ou posterior, com o Java™ Development Kit 1.3 nível SR20 ou posterior, podem modificar seus sistemas WebSphere Application Server para utilizar o SAF (System Authorization Facility) para JSSE (Java Secure Sockets Extension), assim como o SSL (Secure Sockets Layer), que elimina a necessidade de manter certificados duplicados no HFS (Hierarchical File System).

Antes de Iniciar

O WebSphere Application Server para z/OS executando nos níveis de manutenção antes do W502000 armazenava informações de certificado digital em dois locais diferentes por causa das seguintes restrições de SDK (Software Development Kit):
  • O JSSE utilizava os certificados digitais armazenados nos arquivos do sistema de arquivos hierárquicos
  • O SSL utilizava as informações de certificado digital armazenadas no banco de dados SAF
Os sistemas customizados em W502000 ou mais recente usam o repositório de certificados digitais SAF único, por padrão, e não precisam das seguintes modificações.

Sobre Esta Tarefa

Os clientes do WebSphere Application Server para z/OS executando o servidor W50100x ou mais recente, com o Java Development Kit 1.3 nível SR20 ou mais recente, podem modificar seus sistemas WebSphere Application Server para usar o SAF para JSSE, assim como o SSL (eliminando a necessidade de manter certificados duplicados no HFS). As instruções a seguir descrevem como ativar esse suporte.
Nota: Os sistemas customizados nos níveis de manutenção no W502000 ou após usam o único repositório de certificado digital (SAF), por padrão, e esses sistemas não precisam das seguintes modificações.

Para utilizar os certificados do SAF com JSSE:

Procedimento

  1. Atualize as configurações do conector JMX (Java Management Extensions) para indicar os nomes de anéis de chaves do SAF para o nó.
    1. Efetue login no console administrativo utilizando uma identidade com autoridade de administrador.
    2. Clique em Servidores > Servidores de aplicativos > server_name.
    3. Em Infraestrutura do servidor, clique em Administração > Serviços de administração.
    4. Em Propriedades Adicionais, clique em Conectores JMX.
    5. No painel Conectores JMX, clique em SOAPConnector.
    6. Em Propriedades Adicionais, clique em Propriedades Personalizadas.
    7. Na página Propriedades Customizadas, clique em sslConfig.
    8. Na página sslConfig, veja o campo Valor. Verifique se este campo indica node_name/DefaultSSLSettings, em que nodename representa o nome do nó no qual o servidor de aplicativos reside. Registre o nome do nó para uma etapa subsequente.
    9. Selecione node_name/RACFJSSESettings da lista junto ao campo Valor, em que node_name é igual ao nome do nó registrado anteriormente.
    10. Clicar em OK. A página Propriedades Customizadas aparece com uma mensagem indicando que as alterações são feitas na configuração local. Não clique em Salvar porque existem alterações adicionais que são requeridas.
  2. Clique em Servidores > Servidores de aplicativos e repita as subetapas anteriores para cada um dos demais servidores de aplicativos na célula.
  3. Atualize as configurações do conector JMX (Java Management Extensions) para indicar os nomes de anéis de chaves do SAF para o nó do gerenciador de implementação.
    1. Clique em Administração do sistema > Gerenciador de implementação.
    2. Em Propriedades adicionais, clique em Serviços de administração > Conectores JMX.
    3. No painel Conectores JMX, clique em SOAPConnector.
    4. Em Propriedades Adicionais, clique em Personalizar Propriedades.
    5. Na página Propriedades Customizadas, clique em sslConfig.
    6. Na página sslConfig, veja o campo Valor. Este campo exibe dmnode/DefaultSSLSettings, em que dmnode representa o nome do nó do gerenciador de implementação. Registre o nome do nó para uma etapa subsequente.
    7. Selecione dmnode/RACFJSSESettings da lista próxima ao campo Valor, em que dmnode representa o nome do nó do Deployment Manager.
    8. Clicar em OK. Após algum tempo, a página Propriedades customizadas aparece com uma mensagem indicando que mudanças foram feitas na configuração local. Não clique em Salvar neste momento, porque existem alterações adicionais que são requeridas.
  4. Atualize as configurações do conector JMX (Java Management Extensions) para indicar os nomes de anéis de chaves do SAF para o agente do nó.
    1. Clique em Administração do sistema > Agentes do nó > Node_name. Registre o nome do agente do nó para a próxima etapa.
    2. Em Propriedades adicionais, clique em Serviços de administração > Conectores JMX.
    3. No painel Conectores JMX, clique em SOAPConnector.
    4. Em Propriedades Adicionais, clique em Personalizar Propriedades.
    5. Na página Propriedades Customizadas, clique em sslConfig.
    6. Na página sslConfig, veja o campo Valor. Esse campo exibe nodename/DefaultSSLSettings, em que nodename é o nome do nó no qual o agente do nó reside. Registre o nome do nó para uma etapa subsequente.
    7. Selecione nodename/RACFJSSESettings da lista próxima ao campo Valor, em que nodename é o nome de nó gravado anteriormente.
    8. Clicar em OK. A página Propriedades Customizadas é exibida com uma mensagem indicando que as alterações foram feitas na configuração local. Não clique em Salvar nesse momento, pois alterações adicionais são requeridas.
  5. Clique em Administração do sistema > Agentes do nó e repita as subetapas anteriores para cada um dos demais servidores de agentes do nó na célula.
  6. Clique em Salvar quando a mensagem Foram feitas alterações em sua configuração local. Clique em Salvar para aplicar alterações na configuração principal for exibida.
  7. Na página Salvar, selecione a opção Sincronizar Alterações com Nós e clique em Salvar. Quando as alterações forem salvas, o console administrativo retornará à home page.
  8. Atualize o arquivo soap.client.props no diretório profile_root/properties para indicar os nomes do conjunto de chaves SAF que são apropriados para a sua configuração. O arquivo soap.client.props é utilizado pelo script wsadmin.sh e está localizado no arquivo (user.install.root)/properties do servidor de aplicativos ou do gerenciador de implementação. O propósito do arquivo soap.client.props é especificar os valores utilizados pelos clientes SOAP como wsadmin.sh. Em uma célula configurada antes do WebSphere Application Server para z/OS, nível de manutenção W502000, o arquivo soap.client.props indica os nomes dos armazenamentos de chaves Java utilizados pelo JSSE. Quando a célula estiver utilizando os anéis de chaves do SAF para a administração do JSSE, verifique se os anéis de chaves do SAF estão sendo utilizados para os clientes SOAP.

    O arquivo soap.client.props é utilizado pelo script wsadmin.sh.

    As alterações nos anéis de chaves do SAF do cliente wsadmin requerem atualizações no arquivo soap.client.props e a criação de um anel de chaves para administradores. Especifique os seguintes valores:
    com.ibm.ssl.protocol=SSL
    com.ibm.ssl.keyStoreType=JCERACFKS
    com.ibm.ssl.keyStore=safkeyring:///yourkeyringName
    com.ibm.ssl.keyStorePassword=password
    com.ibm.ssl.trustStoreType=JCERACFKS
    com.ibm.ssl.trustStore=safkeyring:///yourKeyringName
    com.ibm.ssl.trustStorePassword=password
    =

    O valor de senha especificado não representa uma senha real, pois é possível utilizar qualquer cadeia. Substitua a cadeia yourKeyringName pelo anel de chaves administrativo do SAF. O nome do anel de chaves utilizado por todos os administradores do WebSphere e o ID do usuário da tarefa iniciada administrativa (padrão WSADMSH) devem ser iguais. Adicionalmente, um anel de chaves deve ser criado para cada usuário que utiliza o arquivo wsadmin.sh com o conector SOAP ao utilizar anéis de chaves do SAF e a segurança estiver ativada. (Um anel de chaves é criado pelo processo de customização para o ID do usuário administrativo inicial, como WSADMIN.)

    Uma descrição de como criar conjuntos de chaves para usuários administrativos no SAF é descrita em considerações de SSL para administradores do WebSphere Application Server.

  9. Recicle a célula.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_racfjssekeyringzos
Nome do arquivo: tsec_racfjssekeyringzos.html