![[z/OS]](../images/ngzos.gif)
利用 ICSF 和 RACF 密钥库来使用 z/OS 硬件密码术
集成加密服务设施 (ICSF) 是 z/OS 系统上的软件,用于充当在其中存储密钥的硬件接口。IBMJCECCARACFKS 密钥库处理资源访问控制设施 (RACF) 中管理的证书和密钥。证书存储在 RACF 中,但您可以将密钥存储在 ICSF 或 RACF 中。无论将密钥存储在 RACF 还是 ICSF 中,IBMJCECCARACFKS 密钥库都将实现硬件加密利用(例如加密、解密和签名)。
开始之前
开始执行此任务之前,您应当熟悉“Web Service 安全性的硬件密码设备支持”主题的内容。
您还必须执行下列操作:
- 请确保您已完成将证书放在 RACF 中所需要进行的设置。请参阅正在系统上运行的 z/OS 版本的 z/OS 信息中心,以了解有关如何将证书放在 RACF 中的信息。
- 了解 IBMJCECCA 提供程序使用的 ICSF 服务所需要的 CSFSERV 访问许可权。有关这些访问许可权的信息,请参阅“Standard Edition,硬件密码 IBMJCECCA 概述”文档。此文档位于 http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html
- 请确保 ICSF 正在运行。
注: JCECCARACFKS 密钥库类型只在 z/OS 平台上可用。
关于此任务
JCECCAKS 密钥库用于您直接在 ICSF 中管理和存储的密钥,并且需要在 java.security 文件所指定的提供程序列表中包括 IBMJCECCA 提供程序。
JCECCARACFKS 密钥库用于您在 RACF 中管理的证书和密钥。您将证书存储在 RACF 中,将密钥存储在 RACF 或 ICSF 中。使用 JCECCARACFKS 密钥库类型需要在 java.security 文件所指定的提供程序列表中包括 IBMJCECCA 提供程序。即使当密钥未存储在硬件中时,也可以实现硬件加密利用以提高性能。
JCERACFKS 密钥库与 IBMJCE 提供程序或 IBMJCECCA 提供程序配合使用。可以使用 JCERACFKS 密钥库来存储由 RACF 管理和存储的证书和密钥。使用 IBMJCECCA 提供程序时,可以实现硬件加密利用以提高性能。JCERACFKS 密钥库的 URI 路径引用的格式为 safkeyring:///your_keyring_name。
注: 如果要将密钥存储在硬件中,那么在 RACF 中生成新密钥将需要使用 ICSF 选项。