创建密钥集配置

可以使用密钥集来管理密钥的多个实例。WebSphere® Application Server 使用密钥在加密操作期间加密或签署出站数据并解密或验证入站数据。

开始之前

在您从密钥集生成密钥后,您必须对将包含这些密钥的密钥库具有写访问权。但是,如果您要在 WebSphere Application Server 外部生成密钥,那么您可以从包含密钥且您在生成密钥时可以访问的只读密钥库引用这些密钥。如果要使用 X509Certificate 和 PrivateKey 对象创建密钥对,请参阅示例:开发密钥或密钥对生成类以自动生成密钥

关于此任务

在管理控制台中完成下列步骤:

过程

  1. 决定您要在单元范围中还是在单元范围之下的节点、服务器或集群中创建密钥集,例如:
    • 要在单元作用域中创建密钥集,请单击安全性 > SSL 证书和密钥管理 > 密钥集
    • 要在单元级别下的作用域中创建密钥集,请单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置 > {入站 | 出站} > ssl_configuration > 密钥集
  2. 单击新建以创建新的密钥集。
  3. 输入密钥集名称。例如,CellmyKey
  4. 输入密钥别名前缀名称。例如,myKey 此字段指定生成新密钥并将其存储在密钥库中时使用的密钥别名前缀。前缀后面是密钥引用版本号,例如 2,因此,完整的密钥别名将为 myKey_2。如果在密钥库中已经对密钥引用指定了密钥别名,那么 WebSphere Application Server 会忽略此字段。
  5. 输入密钥密码。 该密钥密码保护密钥库中的密码。如果已为密钥别名引用指定了密码,那么 WebSphere Application Server 会忽略此密码。要检查密钥引用密码,单击“其他属性”下的活动密钥历史记录。密钥引用密码保护由密钥生成器类生成的密钥。
  6. 再次输入该密码以对其进行确认。
  7. 可选: 输入密钥生成器类名。例如,com.ibm.ws.security.ltpa.LTPAKeyGenerator 该类名生成密钥。如果该类实现了 com.ibm.websphere.crypto.KeyGenerator,那么 getKey 方法返回 java.security.Key 对象,该对象是在没有证书链的情况下使用 setKey 方法在密钥库中设置的。如果该类实现了 com.ibm.websphere.crypto.KeyPairGenerator,那么 getKeyPair 方法返回 com.ibm.websphere.crypto.KeyPair 对象,该对象包含 java.security.PublicKey 和 java.security.PrivateKey,或者包含 java.security.cert.Certificate 和 java.security.PrivateKey 对象。密钥生成器类以及 KeySetHelper API 指定所生成的密钥的详细信息。
  8. 可选: 在 WebSphere Application Server 从活动密钥历史记录列表中移除旧密钥的引用后,如果您不想将这些旧密钥保存在密钥库中,请选择删除超过最大密钥数的密钥引用 活动密钥历史记录列示 KeySetHelper API 当前正在跟踪的密钥。列表中的密钥数等于您在引用的最大密钥数中指定的密钥数。
  9. 输入一个数字值作为引用的最大密钥数。 例如,如果您输入 3 并选择删除超过最大密钥数的密钥引用,那么生成第四个密钥版本会自动触发 WebSphere Application Server 从密钥库删除第一个密钥版本。如果您选择不删除旧密钥,那么它们不会显示在活动密钥历史记录列表中,但仍保留在密钥库中,此时可以手动将其从密钥库移除。
  10. 从下拉列表中选择密钥库。
    • 如果您要存储密钥,请选择 JCEKS 密钥库。
    • 如果您要存储具有 X509Certificate 和 PrivateKey 对象的密钥对,请任意选择一个密钥库。
  11. 可选: 如果您的密钥生成器类名实现 com.ibm.websphere.crypto.KeyPairGenerator 接口而不是 com.ibm.websphere.crypto.KeyGenerator 接口,请选择生成密钥对 此选项指定密钥对而不是单个密钥的密钥引用。密钥对同时包含公用密钥和专用密钥。WebSphere Application Server 运行时确定是否以不同于单个密钥的方式存储和装入密钥对。
  12. 可选: 如果您要选择“其他属性”下的活动密钥历史记录来添加别名引用或生成更多密钥,请单击应用
    1. 单击活动密钥历史记录
    2. 如果您不打算使用密钥生成器类名将密钥别名引用添加到密钥库中已存在的密钥,请单击添加密钥别名引用。使用此选项以从只读密钥库检索密钥,该密钥库中没有生成这些密钥的密钥集。
    3. 输入别名引用。
    4. 如果您要通过使用在密钥集面板中定义的类名来生成密钥,请单击生成密钥 每个新密钥在数字上递增,例如,myAlias_2
    5. 单击应用
  13. 单击导航路径中的密钥集名称。
  14. 单击确定,然后单击保存

结果

您已创建可以使用活动密钥历史记录链接来管理的密钥集。您可以手动生成密钥以使它们与指定的密钥集相关联。

下一步做什么

在从密钥集生成新密钥后,您可以通过使用 com.ibm.websphere.crypto.KeySetHelper API 以编程方式访问这些密钥。您必须具有 Java™ 2 安全性许可权(如果已启用的话)才能访问密钥集中的密钥。在精确的许可权中指定密钥集名称,如以下代码样本中所示:WebSphereRuntimePermission "getKeySets.keySetName"。有关更多信息,请参阅示例:从密钥集组中检索生成的密钥。要同时生成多种密钥类型或按特定时间表调度密钥生成,请参阅创建密钥集组配置

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfkeyset
文件名:tsec_sslconfkeyset.html