[z/OS]

Importation d'un certificat signataire provenant d'un magasin de tiers dignes de confiance dans un fichier de clés z/OS

Vous pouvez importer un certificat signataire, également appelé certificat d'autorité de certification (CA), provenant d'un magasin de tiers dignes de confiance hébergé par un serveur de plate-forme autre que z/OS, dans un fichier de clés z/OS.

Procédure

  1. Sur le serveur de plate-forme autre que z/OS, modifiez le répertoire racine_install/bin et lancez l'utilitaire iKeyman, appelé ikeyman.bat (Windows) ou ikeyman.sh (UNIX). La variable racine_install renvoie au chemin d'installation de WebSphere Application Server.
  2. Dans l'utilitaire iKeyman, ouvrez le magasin de tiers dignes de confiance du serveur. Le magasin de tiers dignes de confiance du serveur par défaut est appelé trust.p12. Le fichier se trouve dans le répertoire $[USER_INSTALL_ROOT}/config/cells/<nom_cellule>/nodes/<nom_noeud>. Le mot de passe par défaut est WebAS.
  3. Extrayez le certificat signataire du magasin de tiers dignes de confiance à l'aide de l'utilitaire ikeyman. Pour extraire le certificat signataire :
    1. Sélectionnez Certificats de signataires dans le menu.
    2. Sélectionnez root dans la liste.
    3. Sélectionnez Extraire.
    4. Sélectionnez le type de données approprié. La variable certificat_signataire peut posséder un type de données ASCII codées en Base64 ou un type de données DER binaires.
    5. Spécifiez le chemin d'accès complet et le nom du fichier du certificat.
  4. A partir d'une invite FTP sur le serveur de plateforme non z/OS, entrez ascii pour changer le transfert de fichier en mode ascii.
  5. Vous pouvez envoyer le certificat par FTP à la plateforme z/OS sous forme de fichier du système hiérarchique de fichiers (HFS) ou de fichier MVS. Pour envoyer un fichier MVS par FTP, procédez comme suit : Dans une invite FTP du serveur de plate-forme autre que z/OS, entrez put 'certificat_signataire' mvs.dataset. La variable certificat_signataire désigne le nom du certificat signataire sur le serveur de plate-forme autre que z/OS. La variable mvs.dataset est le nom du jeu de données dans lequel le certificat a été exporté.

    Pour envoyer un fichier HFS par FTP à partir d'une invite FTP sur le serveur de plateforme autre que z/OS, entrez put 'certificat_signataire' nom_fichier. La variable certificat_signataire désigne le nom du certificat signataire sur le serveur de plate-forme autre que z/OS. La variable nom_fichier correspond au nom du fichier dans le système HFS vers lequel le certificat a été exporté.

    La commande RACDCERT CERTAUTH ADD de l'étape suivante ne fonctionne qu'avec un jeu de données MVS (Multiple Virtual Storage). Vous pouvez convertir le fichier de certificat en jeu de données MVS binaire ou utiliser la commande put avec un fichier HFS, puis utilisez la commande ci-après pour copier le fichier dans un jeu de données MVS :

    cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
  6. Sur le serveur de plate-forme z/OS, accédez à l'option 6 des boîtes de dialogue Interactive System Productivity Facility (ISPF) et exécutez les commandes ci-après en tant que superutilisateur pour ajouter le certificat signataire au fichier de clés z/OS :
    1. Entrez RACDCERT CERTAUTH ADD ('certificat_signataire') WITHLABEL('Certificat racine WebSphere') TRUST La variable Certificat racine WebSphere désigne le nom de l'étiquette du certificat de l'autorité de certification (CA) à importer d'un serveur de plate-forme non-z/OS. La variable nom_fichier_clés désigne le nom du fichier de clés z/OS utilisé par les serveurs dans la cellule.
    2. Entrez RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('Certificat racine WebSphere') RING(nom_fichier_clés)
    3. Entrez RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('Certificat racine WebSphere') RING(nom_fichier_clés)
    4. Entrez RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('Certificat racine WebSphere') RING(nom_fichier_clés) Dans les commandes précédentes, ASCR1, DMCR1 et DMSR1 sont les ID RACF sous lesquels les tâches lancées pour la cellule sont exécutées dans WebSphere Application Server pour z/OS. La valeur ASCR1 est l'ID RACF pour la région de contrôle du serveur d'applications. La valeur DMCR1 est l'ID RACF pour la région de contrôle du gestionnaire de déploiement. La valeur DMSR1 est l'ID RACF pour la région serviteur du gestionnaire de déploiement.

Résultats

A l'issue de la procédure, le fichier de clés z/OS contient les certificats signataires provenant du serveur de plate-forme autre que z/OS.

Que faire ensuite

Pour vérifier que les certificats ont été ajoutés, utilisez l'option 6 de la boîte de dialogue ISPF et entrez la commande suivante :
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name) 
La valeur CBSYMSR1 est l'ID RACF pour la région du serveur d'applications.
Remarque : Même si iKeyman est pris en charge pour WebSphere Application Server version 6.1, il est recommandé d'utiliser la Console d'administration pour exporter les certificats signataires.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslimpsigncerttrustkeyring
Nom du fichier : tsec_sslimpsigncerttrustkeyring.html