[z/OS]

创建可写 SAF 密钥环

WebSphere® 提供的功能允许 WebSphere 管理员通过将 OCSF(开放式加密服务工具)数据库功能用于系统授权工具 (SAF) 密钥环,对 SAF 密钥环执行证书管理操作。本任务创建新的密钥库配置及其相关联的密钥环。

开始之前

JCERACFKS 密钥库与 IBMJCE 提供程序或 IBMJCECCA 提供程序配合使用。可以使用 JCERACFKS 密钥库来存储由资源访问控制设施 (RACF®) 管理和存储的证书和密钥。JCERACFKS 密钥库的统一资源标识 (URI) 路径引用的格式为 safkeyring:///your_keyring_name
注意: JCERACFKS 密钥库类型仅在 z/OS® 平台上可用。
要点: 在生成应用程序服务器概要文件之前,必须使用 Profile Management Tool 启用对可写密钥环的支持。只有当可写密钥环在 z/OS R1.9 或带有 APAR OA22287 - RACF(或用于等价安全性产品的 APAR)和 APAR OA22295 - SAF 的 z/OS R1.8 上运行时,才可对其进行配置。

关于此任务

在管理控制台中完成下列步骤:

过程

  1. 单击安全性 > SSL 证书和密钥管理。在“配置设置”下,单击管理端点安全性配置 > {入站 | 出站} > ssl_configuration。在“相关项”下,单击密钥库和证书。然后单击新建按钮。
  2. 名称字段中输入一个名称。此名称用于在配置中唯一地标识此密钥库。
  3. 路径字段中输入密钥库文件的位置。URI 必须包含 safkeyring,例如 safkeyring:///your_keyring_name
  4. 密码字段中输入密钥库密码“password”。为了在需要密码方面与 JCE 密钥库兼容,JCERACFKS 密码是“password”。此密钥库的安全性并非通过将密码用作其他密钥库类型来获取实际的保护,而是基于通过 RACF 进行保护的执行线程的标识。此密码用于路径字段中指定的密钥库文件。
  5. 选择 JCERACFKS 作为类型,然后根据需要填写其余字段。
  6. 取消选中只读复选框。
  7. 对于“控制区域用户”字段,请指定用于创建控制区域 SAF 密钥环的控制区启动任务用户标识(RACF 标识)。此用户标识必须与控制区域所使用的 RACF 标识完全匹配。
    注: 仅当在 z/OS 上创建可写 SAF 密钥环时,此选项才适用。
  8. 对于“服务方区域用户”字段,请指定用于创建服务方区域 SAF 密钥环的服务方区启动任务用户标识(RACF 标识)。此用户标识必须与服务方区域所使用的 RACF 标识完全匹配。
    注: 仅当在 z/OS 上创建可写 SAF 密钥环时,此选项才适用。
  9. 单击确定,然后单击保存以便将这些更改应用于主配置。

结果

现在,已有一个密钥库可用于配置 SSL 连接。创建了两个附加的密钥库对象,您可以通过管理控制台来访问这些对象以便对相应的密钥环执行证书写操作。这些密钥库对象名为 your_keystore_name -CRyour_keystore_name -SR,其中 your_store_name 是创建命令中指定的密钥库的名称。your_keystore_name -CR 对应于控制区域进程的 RACF 标识所拥有的密钥环,而 your_keystore_name -SR 对应于服务方区域进程的 RACF 标识所拥有的密钥库。这些密钥库是在 your_keystore_name 所在的范围中创建的,您可以通过管理控制台的 your_keystore_name 集合面板对其进行访问。

下一步做什么

在设置 SSL 配置时,您可以继续使用此密钥库文件对客户机与服务器之间的通信进行保护。另外,现在您能够从管理控制台或命令任务框架中对此命令所生成的可写密钥库配置执行证书管理操作。
RACF 密钥环注意事项
删除证书
从 RACF 密钥环中删除证书时,并不会从 RACF 中删除该证书。而是,该证书仅仅是与该密钥环断开连接。在意外地从密钥环中除去证书之后,可以通过 RACF 来重新连接该证书。如果要从 RACF 中完全删除该证书,必须由 RACF 管理员来执行除去操作。
导入和导出证书
将证书导入到受管 SAF 密钥库或者从受管 SAF 密钥库中导出证书时,如果该证书已存在于 RACF 中并具有另一标签,那么它将使用现有标签来连接到密钥环,而不考虑您在导入或导出命令中对该证书指定的标签。
查看证书
不会以物理方式从 RACF 中删除证书。现有的证书标签仍存在于 RACF 中,并且,更新证书时,将通过对现有证书标签追加 _1 和 _2 等内容使该证书的别名(标签)递增。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7createSAF_keyring
文件名:tsec_7createSAF_keyring.html