[z/OS]

利用 ICSF 和 RACF 密钥库来使用 z/OS 硬件密码术

集成加密服务设施 (ICSF) 是 z/OS 系统上的软件,用于充当在其中存储密钥的硬件接口。IBMJCECCARACFKS 密钥库处理资源访问控制设施 (RACF) 中管理的证书和密钥。证书存储在 RACF 中,但您可以将密钥存储在 ICSF 或 RACF 中。无论将密钥存储在 RACF 还是 ICSF 中,IBMJCECCARACFKS 密钥库都将实现硬件加密利用(例如加密、解密和签名)。

开始之前

开始执行此任务之前,您应当熟悉“Web Service 安全性的硬件密码设备支持”主题的内容。

您还必须执行下列操作:
  • 请确保您已完成将证书放在 RACF 中所需要进行的设置。请参阅正在系统上运行的 z/OS 版本的 z/OS 信息中心,以了解有关如何将证书放在 RACF 中的信息。
  • 了解 IBMJCECCA 提供程序使用的 ICSF 服务所需要的 CSFSERV 访问许可权。有关这些访问许可权的信息,请参阅“Standard Edition,硬件密码 IBMJCECCA 概述”文档。此文档位于 http://www.ibm.com/systems/z/os/zos/tools/java/products/j6jcecca.html
  • 请确保 ICSF 正在运行。
注: JCECCARACFKS 密钥库类型只在 z/OS 平台上可用。

关于此任务

JCECCAKS 密钥库用于您直接在 ICSF 中管理和存储的密钥,并且需要在 java.security 文件所指定的提供程序列表中包括 IBMJCECCA 提供程序。

JCECCARACFKS 密钥库用于您在 RACF 中管理的证书和密钥。您将证书存储在 RACF 中,将密钥存储在 RACF 或 ICSF 中。使用 JCECCARACFKS 密钥库类型需要在 java.security 文件所指定的提供程序列表中包括 IBMJCECCA 提供程序。即使当密钥未存储在硬件中时,也可以实现硬件加密利用以提高性能。

JCERACFKS 密钥库与 IBMJCE 提供程序或 IBMJCECCA 提供程序配合使用。可以使用 JCERACFKS 密钥库来存储由 RACF 管理和存储的证书和密钥。使用 IBMJCECCA 提供程序时,可以实现硬件加密利用以提高性能。JCERACFKS 密钥库的 URI 路径引用的格式为 safkeyring:///your_keyring_name

注: 如果要将密钥存储在硬件中,那么在 RACF 中生成新密钥将需要使用 ICSF 选项。

过程

  1. 启动必需的 ICSF 服务。 有关更多信息,请参阅 JAVA 和 ICSF 文档。
  2. 找到 Java 安全性文件 WAS_HOME/AppServer/properties。 Java 安全性文件是 SMP/E HFS 中 Java 安全性文件的符号链接。请删除 Java 安全性文件符号链接并将 java.security 文件从 SMP/E HFS 复制到 WAS_HOME/AppServer/properties,以便可以编辑该文件。java.security 文件中,在提供程序列表中取消注释以下 IBMJCECCA 提供程序:
    security.provider.1=com.ibm.crypto.hdwrCCA.provider.IBMJCECCA
  3. 对提供程序列表中的其余提供程序重新编号。
  4. 浏览至安全性 > SSL 证书和密钥管理 > 密钥库和证书
  5. 单击新建以创建新的密钥库。
  6. 将目录路径添加到密钥库。 URI 必须包含 safkeyringhw 而不包含 safkeyring,例如:safkeyringhw:///your_keyring_name
  7. 对于“类型”,请选择 JCECCARACFKS,然后根据需要完成其余字段。

    如果需要令牌登录,请在密码字段中输入密钥库密码

    为了在需要密码方面与 JCE 密钥库保持兼容,JCERACFKS 密码是密码。此密钥库的安全性并非确实像其他密钥库类型一样通过密码受保护,而是基于执行线程的标识以便通过 RACF 进行保护。此密码用于您在“路径”字段中指定的密钥库文件。

    使用令牌上的密钥的操作需要安全登录。如果密钥库用作加密加速器,那么此字段是可选的。在此情况下,需要选择在硬件设备上启用加密操作选项。

  8. 单击确定,然后单击保存以便将这些更改应用于主配置。

    您可能需要重新启动服务器,这些更改才会生效。

结果

现在,已有一个密钥库可用于配置 SSL 连接。

下一步做什么

在设置 SSL 配置时,您可以继续使用此密钥库文件对客户机与服务器之间的通信进行保护。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_storecertkeysICSF
文件名:tsec_storecertkeysICSF.html