[z/OS]

Importación de un certificado de firmante de un almacén de confianza a un conjunto de claves z/OS

Puede importar un certificado de firmante, que también se conoce como certificado CA (entidad emisora de certificados), de un almacén de confianza en un servidor de la plataforma no z/OS a un conjunto de claves z/OS.

Procedimiento

  1. En el servidor de la plataforma no z/OS, vaya al directorio raíz_instalación/bin e inicie el programa de utilidad iKeyman, llamado ikeyman.bat (Windows) o ikeyman.sh (UNIX). La variable raíz_instalación hace referencia a la vía de acceso de instalación de WebSphere Application Server.
  2. En el programa de utilidad iKeyman, abra el almacén de confianza del servidor. El almacén de confianza del servidor predeterminado se denomina archivo trust.p12. El archivo se encuentra en el directorio $[USER_INSTALL_ROOT}/config/cells/<nombre_célula>/nodes/<nombre_nodo>. La contraseña por omisión es WebAS.
  3. Extraiga el certificado de firmante del almacén de confianza utilizando el programa de utilidad ikeyman. Complete los pasos siguientes para extraer el certificado de firmante:
    1. Seleccione Certificados de firmante desde el menú.
    2. Seleccione root de la lista.
    3. Seleccione Extraer.
    4. Seleccione el tipo de datos correcto. La variable certificado_firmante puede tener un tipo de datos ASCII codificado en Base64 o un tipo de datos DER binarios.
    5. Especifique la vía de acceso totalmente cualificada y el nombre de archivo del certificado.
  4. Desde un indicador de FTP del servidor de la plataforma no z/OS, escriba ascii para cambiar la transferencia de archivos a la modalidad ascii.
  5. Puede transferir mediante ftp el certificado a la plataforma z/OS como archivo en el sistema de archivos jerárquico (HFS) o como un conjunto de datos MVS. Para transferir mediante ftp como un conjunto de datos: desde un indicador de FTP en el servidor de la plataforma no z/OS, escriba put 'certificado_firmante' mvs.dataset. La variable certificado_firmante hace referencia al nombre del certificado de firmante del servidor de la plataforma no z/OS. La variable mvs.dataset es el nombre del conjunto de datos al cual se exportó el certificado.

    Para transferir mediante ftp como un archivo en el HFS desde un indicador de FTP en el servidor de la plataforma no z/OS, escriba put 'certificado_firmante' nombre_archivo. La variable certificado_firmante hace referencia al nombre del certificado de firmante del servidor de la plataforma no z/OS. La variable nombre_archivo es el nombre del archivo en el HFS al que se exporta el certificado.

    El mandato RACDCERT CERTAUTH ADD del paso siguiente sólo trabaja con el conjunto de datos MVS (Multiple Virtual Storage). Puede convertir el archivo de certificado en un conjunto de datos MVS binarios o utilizar el mandato put con un archivo HFS y, a continuación, utilizar el mandato siguiente para copiar el archivo en un conjunto de datos MVS:

    cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
  6. En el servidor de la plataforma z/OS, vaya a la opción 6 de los paneles de diálogo ISPF (Interactive System Productivity Facility) y emita los mandatos siguientes como superusuario para añadir el certificado de firmante al conjunto de claves z/OS:
    1. Escriba RACDCERT CERTAUTH ADD ('signer_certificate') WITHLABEL('WebSphere Root Certificate') TRUST . La variable WebSphere Root Certificate se refiere al nombre de la etiqueta para el certificado de la entidad emisora de certificados (CA) que se está importando desde un servidor de plataforma que no es de z/OS. La variable nombre_conjunto_de_claves hace referencia al nombre del conjunto de claves z/OS utilizado por los servidores de la célula.
    2. Escriba RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
    3. Escriba RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
    4. Escriba RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name) En los mandatos anteriores, ASCR1, DMCR1 y DMSR1 son los ID de RACF bajo los cuales se ejecutan las tareas iniciadas para la célula en WebSphere Application Server para z/OS. El valor ASCR1 es el ID de RACF para la región de control del servidor de aplicaciones. El valor DMCR1 es el ID de RACF para la región de control de gestores de despliegue. El valor DMSR1 es el ID de RACF para la región de servidor del gestor de despliegue.

Resultados

Tras completar estos pasos, el conjunto de claves z/OS contiene los certificados de firmante originados en el servidor de la plataforma no z/OS.

Qué hacer a continuación

Para verificar que se añadieron los certificados, utilice la opción en el panel de diálogo ISPF y escriba el mandato siguiente:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name) 
El valor CBSYMSR1 es el ID de RACF para la región del servidor de aplicaciones.
Nota: Aunque iKeyman está soportado para WebSphere Application Server Versión 6.1, se anima a los clientes a utilizar la consola administrativa para exportar certificados de firmante.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslimpsigncerttrustkeyring
File name: tsec_sslimpsigncerttrustkeyring.html