[z/OS]

启用可写 SAF 密钥环

WebSphere® Application Server 提供的功能允许 WebSphere Application Server 管理员通过将 OCSF(开放式加密服务工具)数据库功能用于系统授权工具 (SAF) 密钥环,对 SAF 密钥环执行证书管理操作。本任务迁移现有配置并启用可写 SAF 密钥环。

开始之前

本任务用于迁移尚未通过概要文件创建操作来启用可写支持的密钥库对象。只有当可写密钥环在 z/OS® R1.9 或带有 APAR OA22287 - 资源访问控制设施 (RACF®) (或用于等价安全性产品的 APAR)和 APAR OA22295 - SAF 的 z/OS R1.8 上运行时,才可对其进行配置。

开始本任务前,wsadmin 工具必须正在运行。请参阅有关启动 wsadmin 脚本编制客户机的信息。

关于此任务

缺省情况下,如果在概要文件管理期间启用可写密钥环支持,那么会对可写密钥环启用缺省密钥库配置。或者,如果从先前 WebSphere Application Server 安装迁移,那么可执行以下步骤,对密钥库对象启用可写密钥环。

可以交互方式和批处理方式使用 AdminTask。要自动完成操作,应该使用批处理方式选项。可以在 JACL 或 Jython 脚本中调用 AdminTask 批处理方式。交互方式将通过该任务需要的所有参数来逐步完成,必需参数都标记有一个“*”。在 AdminTask 运行任务前,它会将该任务的批处理方式语法回送至屏幕。当编写批处理方式脚本以进行自动化时,这可能很有帮助。

需要以下属性来创建可写 SAF 密钥环密钥库对象:
  • keyStoreName
  • controlRegionUser
  • servantRegionUser

用来启用可写 SAF 密钥环的交互方式过程如下所示:

过程

  1. 使用交互方式来逐步执行所有属性,并使用属性的任何缺省值(如果需要的话)。
    缺省值位于提示行的“[]”中。批处理方式中使用的实际标志位于每个提示行上的“()”中。如果使用的是缺省值,那么该标志将不出现在批处理命令行上。
    • 使用 Jacl:
      $AdminTask enableWritableKeyrings -interactive
    • 使用 Jython:
      AdminTask.enableWritableKeyings ('[interactive]')
  2. 以下是步骤 (1) 的输出示例:
    *Keystore Name (keyStoreName): NodeDefaultKeyStore
    Management Scope Name (scopeName):
    *Control region userid for z/OS (SAF) (controlRegionUser): CRRACFID
    *Servant region userid for z/OS (SAF) (servantRegionUser): SRRACFID
    
    Modify keystore for writable SAF support
    
    F (Finish)
    C (Cancel)
    
    Select [F, C]: [F] F
    WASX7278I: Generated command line: $AdminTask enableWritableKeyrings {-keyStoreName NodeDefaultKeyStore 
    -controlRegionUser CRRACFID -servantRegionUser SRRACFID })

结果

会创建两个附加密钥库对象,可使用管理控制台来访问这些对象,以对相应的密钥环执行证书操作。密钥库对象名为 your_keystore_name -CRyour_keystore_name -SR,其中 your_keystore_name 是在创建命令上指定的密钥库的名称。

your_keystore_name -CR 对应于控制区域进程的 RACF 标识所拥有的密钥环,而 your_keystore_name -SR 对应于服务方区域进程的 RACF 标识所拥有的密钥库。

这些密钥库与 your_keystore_name 是在同一个范围中创建,并且可使用管理控制台中的 your_keystore_name 集合面板来访问这些密钥库。

下一步做什么

访问可写 SAF 密钥环:
  1. 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置 > {入站 | 出站} > ssl_configuration > 密钥库和证书 > [密钥库]。
  2. 在“可写 SAF 密钥环”下,单击控制区域密钥环服务方区域密钥环,以分别显示控制区域密钥环或服务方区域密钥环的密钥库集合面板。
  3. 在“其他属性”下,浏览到证书集合面板以执行证书管理操作。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7enableSAF_keyring
文件名:tsec_7enableSAF_keyring.html