[z/OS]

Unterzeichnerzertifikat aus einem Truststore in einen z/OS-Schlüsselring importieren

Sie können ein Unterzeichnerzertifikat, das auch als Zertifikat einer Zertifizierungsstelle oder CA-Zertifikat bezeichnet wird, aus einem Truststore eines Server mit einer anderen Plattform als z/OS in einen z/OS-Schlüsselring importieren.

Vorgehensweise

  1. Wechseln Sie auf dem Server, auf dem nicht z/OS ausgeführt wird, in das Verzeichnis Installationsstammverzeichnis/bin, und starten Sie das Dienstprogramm iKeyman ikeyman.bat unter Windows und ikeyman.sh unter UNIX. Die Variable Installationsstammverzeichnis verweist auf den Installationspfad für WebSphere Application Server.
  2. Öffnen Sie im Dienstprogramm iKeyman den Server-Truststore. Standardmäßig hat der Server-Truststore den Namen trust.p12. Die Datei befindet sich im Verzeichnis $[USER_INSTALL_ROOT}/config/cells/<Zellenname>/nodes/<Knotenname>. Das Standardkennwort ist WebAS.
  3. Extrahieren Sie das Unterzeichnerzertifikat mit dem Dienstprogramm ikeyman aus dem Truststore. Führen Sie die folgenden Schritte aus, um das Unterzeichnerzertifikat zu extrahieren:
    1. Wählen Sie im Menü die Option Zertifikate des Unterzeichners aus.
    2. Wählen Sie in der Liste Stammzertifikat aus.
    3. Wählen Sie Extrahieren aus.
    4. Wählen Sie den richtigen Datentyp aus. Das Unterzeichnerzertifikat kann den Datentyp Base64-encoded ASCII oder Binary DER haben.
    5. Geben Sie den vollständig qualifizierten Pfad- und Dateinamen des Zertifikats an.
  4. Geben Sie an einer FTP-Eingabeaufforderung auf dem Server, auf dem nicht die Plattform z/OS verwendet wird, ascii ein, um die Dateiübertragung auf den ASCII-Modus umzustellen.
  5. Sie können das Zertifikat mit FTP als Datei ihm hierarchischen Dateisystem (HFS, Hierarchical File System) oder als MVS-Datei auf die z/OS-Plattform übertragen. Wenn Sie das Zertifikat per FTP als MVS-Datei übertragen möchten, geben Sie an einer FTP-Eingabeaufforderung auf dem Server ohne z/OS Folgendes ein: put 'Unterzeichnerzertifikat' mvs.Datei. Die Variable Unterzeichnerzertifikat verweist auf den Namen des Unterzeichnerzertifikats auf dem Server, auf dem nicht z/OS ausgeführt wird. Die Variable mvs.dataset steht für den Namen der Datei, in die das Zertifikat exportiert wurde.

    Wenn Sie das Zertifikat per FTP als Datei in einem HFS übertragen möchten, geben Sie an einer FTP-Eingabeaufforderung auf dem Server ohne z/OS Folgendes ein: put 'Unterzeichnerzertifikat' Dateiname. Die Variable Unterzeichnerzertifikat verweist auf den Namen des Unterzeichnerzertifikats auf dem Server, auf dem nicht z/OS ausgeführt wird. Die Variable Dateiname steht für den Namen der Datei im HFS, in die das Zertifikat exportiert wurde.

    Der Befehl RACDCERT CERTAUTH ADD im nächsten Schritt funktioniert nur mit einer MVS-Datei (Multiple Virtual Storage). Sie können die Zertifikatsdatei in eine binäre MVS-Datei konvertieren oder den Befehl put mit einer HFS-Datei verwenden und anschließend den folgenden Befehl verwenden, um die Datei in eine MVS-Datei zu kopieren:

    cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
  6. Rufen Sie auf dem Server mit der z/OS-Plattform in den IPSF-Anzeigen (Interactive System Productivity Facility) die Option 6 auf, und setzen Sie die folgenden Befehle als Superuser ab, um das Unterzeichnerzertifikat zum z/OS-Schlüsselring hinzuzufügen:
    1. Geben Sie RACDCERT CERTAUTH ADD ('Unterzeichnerzertifikat') WITHLABEL('WebSphere-Stammzertifikat') TRUST ein. Die Variable "WebSphere-Stammzertifikat" verweist auf den Kennsatznamen für das CA-Zertifikat, das Sie von einem Server importieren, auf dem nicht z/OS ausgeführt wird. Die Variable Name_des_Schlüsselrings gibt den Namen des z/OS-Schlüsselrings an, der von den Servern in der Zelle verwendet wird.
    2. Geben Sie RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere-Stammzertifikat') RING(Name_des_Schlüsselrings) ein.
    3. Geben Sie RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere-Stammzertifikat') RING(Name_des_Schlüsselrings) ein.
    4. Geben Sie RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere-Stammzertifikat') RING(Name_des_Schlüsselrings) ein. In diesen Befehlen sind ASCR1, DMCR1 und DMSR1 die RACF-IDs, unter denen die gestarteten Tasks für die Zelle in WebSphere Application Server for z/OS ausgeführt werden. Der Wert ASCR1 ist die RACF-ID für die Steuerregion des Anwendungsservers. Der Wert DMCR1 ist die RACF-ID für die Steuerregion des Deployment Manager. Der Wert DMSR1 ist die RACF-ID für die Serverregion des Deployment-Manager.

Ergebnisse

Nachdem Sie diese Schritte ausgeführt haben, enthält der z/OS-Schlüsselring die Unterzeichnerzertifikate, die von dem Server stammen, auf dem nicht z/OS ausgeführt wird.

Nächste Schritte

Wenn Sie sich vergewissern möchten, ob die Zertifikate hinzugefügt wurden, rufen Sie Option 6 in der ISPF-Dialoganzeige auf, und geben Sie den folgenden Befehl ein:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name) 
Der Wert CBSYMSR1 ist die RACF-ID für die Anwendungsserverregion.
Anmerkung: Obwohl iKeyman für WebSphere Application Server Version 6.1 unterstützt wird, werden Kunden aufgefordert, für das Exportieren von Unterzeichnerzertifikaten die Administrationskonsole zu verwenden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslimpsigncerttrustkeyring
Dateiname:tsec_sslimpsigncerttrustkeyring.html