z/OS パスワード暗号鍵フィーチャー (zosPasswordEncryptionKey-1.0) を使用して、Advanced Encryption Standard (AES) パスワードを Libertyに安全に保管できます。 この機能は、暗号化されたパスワードの AES 暗号鍵を実行時に取得して、パスワードがサーバー構成に保管されないようにします。
このタスクについて
wlp.password.encryption.key 変数を使用して、サーバー構成で AES 暗号鍵を指定できます。 ただし、よりセキュアな代替手段として、System Authorization Facility (SAF) 鍵リングに保管されている秘密鍵を使用することができます。
zosPasswordEncryptionKey-1.0 フィーチャーが有効になっている場合は、構成済みパスワードの代わりにプロセス資格情報を使用して、System Authorization Facility (SAF) 鍵リングから AES 暗号鍵を取得できます。 この機能が有効になっている場合、 wlp.password.encryption.key 変数は無視されます。
手順
- SAF 鍵リングに保管されている暗号鍵を使用するには、
server.xml ファイルで zosPasswordEncryptionKey-1.0 フィーチャーを有効にします。鍵リングの詳細を指定し、秘密鍵を保持する個人証明書を
zosPasswordEncryptionKey エレメントで識別します。
<featureManager>
<feature>zosPasswordEncryptionKey-1.0</feature>
</featureManager>
<zosPasswordEncryptionKey keyring="safkeyring:///KEYRING" label="WLP" type="JCERACFKS" />
この構成では、鍵リングにアクセスし、
label 属性で指定された証明書から秘密鍵を取得できます。
- securityUtility encode コマンドを使用して、SAF 鍵リングから AES 暗号化パスワードを生成することもできます。
securityUtility コマンドはコマンド行で暗号鍵を指定できますが、SAF 鍵リングから暗号鍵を取得することもできます。暗号鍵に使用される秘密鍵にアクセスするには、コマンド行で
—-keyring、
—-keyringType、および
—-keyLabel オプションを指定します。 このオプションを使用するには、SAF 鍵リングへのアクセスが許可されている必要があります。 以下の例は、
securityUtility encode コマンドの正しい構文を示しています。
securityUtility encode —-encoding=aes —-keyring=safkeyring:///KEYRING1 —-keyringType=JCERACFKS —keyLabel=WLP passwordToEncrypt