[z/OS]

对审计签名和加密的 SAF 密钥环支持

当您启用审计时,在服务方区域和控制区域中都将进行日志记录。当审计使用存储在 SAF 密钥环中的证书来进行签名和加密时,该证书和 SAF 密钥环必须可供服务方区域和控制区域 RACF® 标识访问。

确定证书的可访问性

您必须通过复查 RACF 中的密钥环信息来确定证书是否可供服务方区域和控制区域 RACF 标识访问。可以使用多种方法来确定证书是否可供访问。请完成下列其中一个过程:
  • 使用下列 RACDCERT LISTING 命令来列示与特定密钥环的特定 RACF 标识相关联的证书,并对列表进行比较:
    RACDCERT ID(CRRACFID) LISTRING(keyring_name)
    RACDCERT ID(SRRACFID) LISTRING(keyring_name)
    • CRRACFID 是控制区域 RACF 标识
    • SRRACFID 是服务方区域 RACF 标识
    • keyring_name 是所指定的密钥环
  • 列示有关 RACF 中的证书的信息。使用以下 RACDCERT LIST 命令来获取密钥环以及对该证书具有访问权的 RACF 标识的列表,并确定是否同时列示了服务方区域和控制区域 RACF 标识:
    RACDCERT LIST (LABEL('certificate_label')) CERTAUTH
如果证书可供一个 RACF 标识访问,但是不可供另一个 RACF 标识访问,那么可以使用以下 RACDCERT CONNECT 命令将该证书与另一个 RACF 标识相连接:
RACDCERT ID(CRRACFID) CONNECT (ID(CRRACFID) LABEL('certificate_label') RING(keyring_name) DEFAULT)

对于审计,在 WebSphere® Application Server 中,密钥库对象必须与密钥环相关联。如果密钥库对象与密钥环不相关联,那么您可以在管理控制台中创建此关联,或者使用 wsadmin 命令 CreateKeyStore 来创建此关联。有关更多信息,请了解密钥库设置或者 KeyStoreCommands 命令组。

访问可写的 SAF 密钥环

如果您在 WebSphere Application Server 中启用了可写的 SAF 密钥环并且密钥环具有配置对象,那么可以使用管理控制台或者 wsadmin 任务来验证证书可供服务方区域和控制区域 RACF 标识访问。通常,下列三个密钥库对象与可写的 SAF 密钥环相关联:
  • 密钥环的只读视图
  • 密钥环的服务方区域视图
  • 密钥环的控制区域视图

如果服务方区域和控制区域密钥库对象都看到了证书,那么您可以使用该证书来进行审计签名和加密。您可以使用管理控制台或者使用 listPersonalCertificates 命令来查看密钥库对象。有关更多信息,请了解在 SSL 或者 PersonalCertificateCommands 命令组中的证书管理。

如果您可以在一个密钥库对象中查看证书,但是无法在另一个密钥库对象中查看该证书,那么可以将缺少的证书导入到另一个密钥库对象中。例如,如果您在控制区域密钥库对象中可以查看证书,但是在服务方区域密钥库对象中无法查看该证书,那么您需要将该证书导入到服务方区域密钥库对象中。可以使用管理控制台或者使用 importCertificate 命令将证书从控制区域密钥库对象导入到服务方区域密钥库对象中。有关更多信息,请了解导入证书或者 PersonalCertificateCommands 命令组。

有关可写的 SAF 密钥环的更多信息,请了解使用、创建和启用可写的 SAF 密钥环。

使用 SAF 密钥环中的证书进行审计

在证书可供 SAF 密钥环的服务方区域和控制区域 RACF 标识访问之后,您可以将该证书用于审计签名和加密。如果您正在使用可写的 SAF 密钥环,那么将只读密钥库对象与审计配置配合使用。有关使用证书进行审计签名和加密的更多信息,请了解保护安全性审计数据。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_safkeyringaudit
文件名:csec_safkeyringaudit.html