署名者証明書を 非 z/OS プラットフォーム・サーバーのトラストストアから z/OS 鍵リングへインポートすることができます。
この署名者証明書は、認証局 (CA) 証明書とも呼ばれます。
このタスクについて
z/OS 鍵リングへ証明書をインポートするには、以下のステップを実行します。
プロシージャー
- 非 z/OS プラットフォーム・サーバーで、install_root/bin ディレクトリーに移動し、iKeyman ユーティリティーを開始します。
このユーティリティーは、ikeyman.bat (Windows) または ikeyman.sh (UNIX) と呼ばれます。 install_root 変数は
WebSphere Application Server のインストール・パスです。
- iKeyman ユーティリティーで、サーバー・トラストストアを開きます。デフォルトのサーバー・トラストストアは、DummyServerTrustFile.jks ファイルと呼ばれます。
ファイルは、$[USER_INSTALL_ROOT}/etc/ ディレクトリーにあります。
デフォルトのパスワードは、WebAS です。
- ikeyman ユーティリティーを使用して、
トラストストアから署名者証明書を抽出します。以下のステップを実行して、
署名者証明書を抽出します。
- メニューから「署名者証明書」を選択します。
- 「new websphere dummy server alias」を選択します。
- 「抽出」を選択します。
- 適切なデータ型を選択します。signer_certificate には、Base64 エンコード ASCII データ型または
バイナリー DER データ型を使用できます。
- 証明書の完全修飾パスおよびファイル名を指定します。
- 非 z/OS プラットフォーム・サーバーの FTP プロンプトから、ascii と入力して、
ファイル転送を ASCII モードに変更します。
- 非 z/OS プラットフォーム・サーバーの FTP プロンプトから、put 'signer_certificate' mvs.dataset
を入力します。 signer_certificate 変数は、
非 z/OS プラットフォーム・サーバーの署名者証明書の名前です。
mvs.dataset 変数は、
証明書のエクスポート先のデータ・セット名です。
次のステップの RACDCERT CERTAUTH ADD コマンドは
Multiple Virtual Storage (MVS) データ・セットでのみ機能します。証明書ファイルをバイナリー MVS データ・セットに変換するか、
または階層ファイル・システム (HFS) ファイルで put コマンドを使用してから、以下のコマンドを使用して、
ファイルを MVS データ・セットにコピーすることができます。
OGET file_name mvs.dataset
- z/OS プラットフォーム・サーバーで、Interactive System Productivity Facility (ISPF) ダイアログ・パネルのオプション 6 へ進み、
以下のコマンドをスーパーユーザーとして発行して、署名者証明書を z/OS 鍵リングへ追加します。
- RACDCERT CERTAUTH ADD ('signer_certificate')
WITHLABEL('Dummy Server CA') TRUST を入力します。 Dummy Server CA 変数は、
非 z/OS プラットフォーム・サーバーからインポートする認証局 (CA) 証明書のラベル名です。keyring_name 変数は、
セル内のサーバーにより使用される z/OS 鍵リングの名前です。
- RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('Dummy
Server CA') RING(keyring_name) を入力します。
- RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('Dummy
Server CA') RING(keyring_name) を入力します。
- RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('Dummy
Server CA') RING(keyring_name) を入力します。
前のコマンドで、ASCR1、DMCR1、および DMSR1 は、
セルで開始済みのタスクが WebSphere Application Server for z/OS で実行される RACF ID です。ASCR1 値は、
アプリケーション・サーバー制御領域の RACF ID です。DMCR1 値は、
デプロイメント・マネージャー制御領域の RACF ID です。DMSR1 値は、
デプロイメント・マネージャー・サーバー領域の RACF ID です。
結果
上記のステップを完了すると、z/OS 鍵リングには、
非 z/OS プラットフォーム・サーバーで作成された署名者証明書が含まれています。
次の作業
証明書が追加されたことを検証するには、ISPF ダイアログ・パネルのオプション 6 を使用して、
以下のコマンドを入力します。
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name)
CBSYMSR1 値は、
アプリケーション・サーバーの領域の RACF ID です。
注: iKeyman は
WebSphere Application Server バージョン 6.1 でサポートされますが、
管理コンソールを使用して、署名者証明書をエクスポートすることをお勧めします。