[IBM i][AIX Solaris HP-UX Linux Windows]

配置硬件加密密钥库

您可以创建一个硬件加密密钥库,WebSphere® Application Server 可以使用该密钥库在服务器配置中支持密码令牌。

关于此任务

注: 不支持硬件加速器,但以下情况除外:
  • 如果您正在使用 WebSphere Application Server for z/OS® 和 IBMJCECCA 密码提供程序。
  • 如果正在使用在 zLinux 上运行的 WebSphere Application Server V7.0 及更高版本并且正在使用 IBMPKCS11 提供程序。

在管理控制台中完成下列步骤:

过程

  1. 单击安全性 > SSL 证书和密钥管理 > 密钥库和证书
  2. 单击新建
  3. 输入一个名称来标识该密钥库。 此名称用于在 Web Service 安全性配置中启用硬件密码。
  4. (可选)可以在描述字段中输入密钥库的描述。
  5. 可以指定密钥库的管理范围。这不是必需的。 “管理范围”指定范围,在该范围中此安全套接字层 (SSL) 配置为可视。例如,如果选择特定的节点,那么该配置仅在该节点上以及该节点包含的任何服务器上可视。
  6. 输入特定于硬件设备的配置文件的路径。 配置文件是一个文本文件,它包含以下格式的条目:attribute = value。“Software Developer Kit, Java™ Technology Edition”文档中详细描述了属性和值的有效值。两个必需的属性为 name 和 library,如以下样本代码中所示:
    name = FooAccelerator
    library = /opt/foo/lib/libpkcs11.so
    slotListIndex = 0
    配置文件还应该包含特定于设备的配置数据。在 Java 技术站点 http://publib.boulder.ibm.com/infocenter/javasdk/v6r0/topic/com.ibm.java.security.component.60.doc/security-component/introduction.html 的标题“PKCS 11 Implementation Provider”下,浏览至包含样本配置文件的 PKCS11ImplConfigSamples.jar 文件。
    [AIX Solaris HP-UX Linux Windows][IBM i]注: JSSE2 不能使用 IBMPKCS11Impl 提供程序来加速。
    1. 可以使用链接 http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMJavaPKCS11ImplementationProvider.html 来了解如何以线程安全方法来初始化 IBMPKCS11 提供程序。
    2. 指定唯一的 .cfg 文件来包含有关受支持的硬件设备的信息。有关受支持的硬件设备的列表可以在 http://www-01.ibm.com/support/knowledgecenter/SSYKE2_5.0.0/com.ibm.java.security.component.doc.50/secguides/pkcs11implDocs/IBMPKCS11SupportList.html 上找到。
    3. 指定具有所示的经过正确初始化的 IBMPKCS11Impl 提供程序实例来指定 Signature.getInstance 方法。
      Signature.getInstance("SHA1withRSA", ibmpkcs11implinstance);
  7. [AIX Solaris HP-UX Linux Windows][IBM i]如果需要令牌登录,请输入一个密码。 使用令牌上的密钥的操作需要安全登录。如果密钥库用作加密加速器,那么此字段是可选的。在这种情况下,需要选择在硬件设备上启用加密操作
  8. [z/OS]如果需要令牌登录,请在密码字段中输入密钥库密码

    使用令牌上的密钥的操作需要安全登录。如果密钥库用作加密加速器,那么此字段是可选的。在此情况下,需要选择在硬件设备上启用加密操作选项。

    为了在需要密码方面与 JCE 密钥库保持兼容,JCERACFKS 密码是密码。此密钥库的安全性并非确实像其他密钥库类型一样通过密码受保护,而是基于执行线程的标识以便通过 RACF 进行保护。此密码用于您在“路径”字段中指定的密钥库文件。

  9. 选择 PKCS11 类型。
  10. 选择只读
  11. 单击确定,然后单击保存

结果

WebSphere Application Server 现在可以在服务器配置中支持密码令牌。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfhwcrypkeystore
文件名:tsec_sslconfhwcrypkeystore.html