Puede importar un certificado de firmante, que también se
conoce como certificado CA (entidad emisora de certificados), de un
almacén de confianza en un servidor de la plataforma no z/OS a un
conjunto de claves z/OS.
Procedimiento
- En el servidor de la plataforma no z/OS, vaya al directorio
raíz_instalación/bin e inicie el programa de utilidad iKeyman,
llamado ikeyman.bat (Windows) o ikeyman.sh
(UNIX). La variable
raíz_instalación hace referencia a la vía de acceso de
instalación de WebSphere Application Server.
- En el programa de utilidad iKeyman, abra el almacén de confianza del servidor. El almacén de confianza del servidor predeterminado se denomina archivo trust.p12.
El archivo se encuentra en el directorio $[USER_INSTALL_ROOT}/config/cells/<nombre_célula>/nodes/<nombre_nodo>.
La contraseña por omisión es WebAS.
- Extraiga el certificado de firmante del almacén de confianza utilizando el programa de utilidad ikeyman.
Complete los pasos siguientes para extraer el certificado de firmante:
- Seleccione Certificados de firmante desde el menú.
- Seleccione root de la lista.
- Seleccione Extraer.
- Seleccione el tipo de datos correcto. La variable certificado_firmante puede tener un tipo de datos ASCII codificado en Base64 o un tipo de datos DER binarios.
- Especifique la vía de acceso totalmente cualificada y el nombre de archivo del certificado.
- Desde un indicador de FTP del servidor de la plataforma no z/OS, escriba ascii para cambiar la transferencia de archivos a la modalidad ascii.
- Puede transferir mediante ftp el certificado a la plataforma z/OS como archivo en el sistema de archivos jerárquico (HFS) o como un conjunto de datos MVS. Para transferir mediante ftp como un conjunto de datos: desde un indicador de FTP en el servidor de la plataforma no z/OS, escriba put 'certificado_firmante' mvs.dataset. La variable certificado_firmante hace referencia al nombre del certificado de firmante del servidor de la plataforma no z/OS.
La variable mvs.dataset es el nombre del conjunto de datos al cual se exportó el certificado.
Para transferir mediante ftp como un archivo en el HFS desde un indicador de FTP en el servidor de la plataforma no z/OS, escriba put 'certificado_firmante' nombre_archivo. La variable certificado_firmante hace referencia al nombre del certificado de firmante del servidor de la plataforma no z/OS.
La variable nombre_archivo es el nombre del archivo en el HFS al que se exporta el certificado.
El mandato RACDCERT CERTAUTH ADD del paso siguiente sólo trabaja con el conjunto de datos MVS (Multiple Virtual Storage).
Puede convertir el archivo de
certificado en un conjunto de datos MVS binarios o utilizar el mandato put con un archivo HFS
y, a continuación, utilizar el mandato siguiente para copiar el archivo en un conjunto de datos MVS:
cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
- En el servidor de la plataforma z/OS, vaya a la opción 6 de
los paneles de diálogo ISPF (Interactive System Productivity Facility) y
emita los mandatos siguientes como superusuario para añadir el
certificado de firmante al conjunto de claves z/OS:
- Escriba RACDCERT CERTAUTH ADD ('signer_certificate')
WITHLABEL('WebSphere Root Certificate') TRUST . La variable WebSphere Root Certificate se refiere al nombre de la etiqueta para el certificado de la entidad emisora de certificados (CA) que se está importando desde un servidor de plataforma que no es de z/OS. La variable nombre_conjunto_de_claves hace referencia al nombre
del conjunto de claves z/OS utilizado por los servidores de la célula.
- Escriba RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name)
- Escriba RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name)
- Escriba RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name) En los mandatos anteriores, ASCR1, DMCR1 y
DMSR1 son los ID de RACF bajo los cuales se ejecutan las tareas
iniciadas para la célula en WebSphere Application Server para z/OS.
El valor ASCR1 es el ID de RACF para la región de control del
servidor de aplicaciones. El valor DMCR1 es el ID de
RACF
para la región de control de gestores de despliegue. El valor
DMSR1 es el ID de RACF para la región de servidor del gestor de
despliegue.
Resultados
Tras completar estos pasos, el conjunto de claves
z/OS
contiene los certificados de firmante originados en el servidor de la
plataforma no z/OS.
Qué hacer a continuación
Para verificar que se añadieron los certificados, utilice la opción en el panel de diálogo ISPF y escriba el mandato siguiente:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name)
El valor
CBSYMSR1 es el ID de
RACF
para la región del servidor de aplicaciones.
Nota: Aunque iKeyman está
soportado para
WebSphere
Application Server Versión 6.1, se anima a los clientes a utilizar la
consola administrativa para exportar certificados de firmante.