![[z/OS]](../images/ngzos.gif)
对审计签名和加密的 SAF 密钥环支持
当您启用审计时,在服务方区域和控制区域中都将进行日志记录。当审计使用存储在 SAF 密钥环中的证书来进行签名和加密时,该证书和 SAF 密钥环必须可供服务方区域和控制区域 RACF® 标识访问。
确定证书的可访问性
- 使用下列 RACDCERT LISTING 命令来列示与特定密钥环的特定 RACF 标识相关联的证书,并对列表进行比较:
RACDCERT ID(CRRACFID) LISTRING(keyring_name) RACDCERT ID(SRRACFID) LISTRING(keyring_name)
- CRRACFID 是控制区域 RACF 标识
- SRRACFID 是服务方区域 RACF 标识
- keyring_name 是所指定的密钥环
- 列示有关 RACF 中的证书的信息。使用以下 RACDCERT LIST 命令来获取密钥环以及对该证书具有访问权的 RACF 标识的列表,并确定是否同时列示了服务方区域和控制区域 RACF 标识:
RACDCERT LIST (LABEL('certificate_label')) CERTAUTH
RACDCERT ID(CRRACFID) CONNECT (ID(CRRACFID) LABEL('certificate_label') RING(keyring_name) DEFAULT)
对于审计,在 WebSphere® Application Server 中,密钥库对象必须与密钥环相关联。如果密钥库对象与密钥环不相关联,那么您可以在管理控制台中创建此关联,或者使用 wsadmin 命令 CreateKeyStore 来创建此关联。有关更多信息,请了解密钥库设置或者 KeyStoreCommands 命令组。
访问可写的 SAF 密钥环
- 密钥环的只读视图
- 密钥环的服务方区域视图
- 密钥环的控制区域视图
如果服务方区域和控制区域密钥库对象都看到了证书,那么您可以使用该证书来进行审计签名和加密。您可以使用管理控制台或者使用 listPersonalCertificates 命令来查看密钥库对象。有关更多信息,请了解在 SSL 或者 PersonalCertificateCommands 命令组中的证书管理。
如果您可以在一个密钥库对象中查看证书,但是无法在另一个密钥库对象中查看该证书,那么可以将缺少的证书导入到另一个密钥库对象中。例如,如果您在控制区域密钥库对象中可以查看证书,但是在服务方区域密钥库对象中无法查看该证书,那么您需要将该证书导入到服务方区域密钥库对象中。可以使用管理控制台或者使用 importCertificate 命令将证书从控制区域密钥库对象导入到服务方区域密钥库对象中。有关更多信息,请了解导入证书或者 PersonalCertificateCommands 命令组。
有关可写的 SAF 密钥环的更多信息,请了解使用、创建和启用可写的 SAF 密钥环。
使用 SAF 密钥环中的证书进行审计
在证书可供 SAF 密钥环的服务方区域和控制区域 RACF 标识访问之后,您可以将该证书用于审计签名和加密。如果您正在使用可写的 SAF 密钥环,那么将只读密钥库对象与审计配置配合使用。有关使用证书进行审计签名和加密的更多信息,请了解保护安全性审计数据。