Sie können ein Unterzeichnerzertifikat, das auch als Zertifikat einer Zertifizierungsstelle
oder CA-Zertifikat bezeichnet wird, aus einem Truststore eines Server mit einer anderen Plattform als z/OS
in einen z/OS-Schlüsselring importieren.
Vorgehensweise
- Wechseln Sie auf dem Server, auf dem nicht z/OS ausgeführt wird,
in das Verzeichnis Installationsstammverzeichnis/bin, und starten Sie das
Dienstprogramm iKeyman ikeyman.bat unter Windows und
ikeyman.sh unter UNIX. Die Variable Installationsstammverzeichnis verweist auf den Installationspfad für
WebSphere Application Server.
- Öffnen Sie im Dienstprogramm iKeyman den Server-Truststore. Standardmäßig hat der Server-Truststore den Namen trust.p12.
Die Datei befindet sich im Verzeichnis $[USER_INSTALL_ROOT}/config/cells/<Zellenname>/nodes/<Knotenname>.
Das Standardkennwort ist WebAS.
- Extrahieren Sie das Unterzeichnerzertifikat mit dem Dienstprogramm ikeyman aus dem Truststore.
Führen Sie die folgenden Schritte aus, um das Unterzeichnerzertifikat zu extrahieren:
- Wählen Sie im Menü die Option Zertifikate des Unterzeichners aus.
- Wählen Sie in der Liste Stammzertifikat aus.
- Wählen Sie Extrahieren aus.
- Wählen Sie den richtigen Datentyp aus. Das Unterzeichnerzertifikat kann den Datentyp Base64-encoded ASCII oder Binary DER haben.
- Geben Sie den vollständig qualifizierten Pfad- und Dateinamen des Zertifikats an.
- Geben Sie an einer FTP-Eingabeaufforderung auf dem Server, auf dem nicht die Plattform z/OS verwendet wird,
ascii ein, um die Dateiübertragung auf den ASCII-Modus umzustellen.
- Sie können das Zertifikat mit FTP als Datei ihm hierarchischen Dateisystem
(HFS, Hierarchical File System) oder als MVS-Datei auf die z/OS-Plattform übertragen. Wenn Sie das Zertifikat
per FTP als MVS-Datei übertragen möchten, geben Sie an einer FTP-Eingabeaufforderung auf dem
Server ohne z/OS Folgendes ein: put 'Unterzeichnerzertifikat' mvs.Datei. Die Variable Unterzeichnerzertifikat verweist auf den Namen des Unterzeichnerzertifikats
auf dem Server, auf dem nicht z/OS ausgeführt wird.
Die Variable mvs.dataset steht für den Namen der Datei, in die das
Zertifikat exportiert wurde.
Wenn Sie das Zertifikat
per FTP als Datei in einem HFS übertragen möchten, geben Sie an einer FTP-Eingabeaufforderung auf dem
Server ohne z/OS Folgendes ein: put 'Unterzeichnerzertifikat' Dateiname. Die Variable Unterzeichnerzertifikat verweist auf den Namen des Unterzeichnerzertifikats
auf dem Server, auf dem nicht z/OS ausgeführt wird.
Die Variable Dateiname steht für den Namen der Datei im HFS, in die das Zertifikat exportiert wurde.
Der Befehl RACDCERT CERTAUTH ADD im nächsten Schritt funktioniert nur
mit einer MVS-Datei (Multiple Virtual Storage). Sie können
die Zertifikatsdatei in eine binäre MVS-Datei konvertieren oder den Befehl put mit einer HFS-Datei verwenden und anschließend
den folgenden Befehl verwenden, um die Datei in eine MVS-Datei zu kopieren:
cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
- Rufen Sie auf dem Server mit der z/OS-Plattform in den IPSF-Anzeigen (Interactive
System Productivity Facility) die Option 6 auf, und setzen Sie die folgenden Befehle
als Superuser ab, um das Unterzeichnerzertifikat zum z/OS-Schlüsselring hinzuzufügen:
- Geben Sie RACDCERT CERTAUTH ADD ('Unterzeichnerzertifikat')
WITHLABEL('WebSphere-Stammzertifikat') TRUST ein. Die Variable "WebSphere-Stammzertifikat" verweist auf den Kennsatznamen für das CA-Zertifikat,
das Sie von einem Server importieren, auf dem nicht z/OS ausgeführt wird.
Die Variable Name_des_Schlüsselrings gibt den Namen des
z/OS-Schlüsselrings an, der von den Servern in der Zelle verwendet wird.
- Geben Sie RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere-Stammzertifikat') RING(Name_des_Schlüsselrings) ein.
- Geben Sie RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere-Stammzertifikat') RING(Name_des_Schlüsselrings) ein.
- Geben Sie RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere-Stammzertifikat') RING(Name_des_Schlüsselrings) ein. In diesen Befehlen sind ASCR1, DMCR1 und DMSR1 die RACF-IDs, unter denen
die gestarteten Tasks für die Zelle in WebSphere Application
Server for z/OS ausgeführt werden. Der Wert ASCR1 ist die RACF-ID für die Steuerregion des Anwendungsservers.
Der Wert DMCR1 ist die RACF-ID für die Steuerregion des Deployment Manager.
Der Wert DMSR1 ist die RACF-ID für die Serverregion des Deployment-Manager.
Ergebnisse
Nachdem Sie diese Schritte ausgeführt haben, enthält der z/OS-Schlüsselring die Unterzeichnerzertifikate,
die von dem Server stammen, auf dem nicht z/OS ausgeführt wird.
Nächste Schritte
Wenn Sie sich vergewissern möchten, ob die Zertifikate hinzugefügt wurden,
rufen Sie Option 6 in der ISPF-Dialoganzeige auf, und geben Sie den folgenden Befehl ein:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name)
Der Wert
CBSYMSR1
ist die RACF-ID für die Anwendungsserverregion.
Anmerkung: Obwohl iKeyman
für WebSphere Application Server Version 6.1 unterstützt wird, werden Kunden aufgefordert,
für das Exportieren von Unterzeichnerzertifikaten die Administrationskonsole zu verwenden.