[z/OS]

トラストストアから z/OS 鍵リングへの署名者証明書のインポート

署名者証明書 (認証局 (CA) 証明書とも呼ばれる) を 非 z/OS プラットフォーム・サーバーのトラストストアから z/OS® 鍵リングへインポートすることができます。

手順

  1. 非 z/OS プラットフォーム・サーバーで、install_root/bin ディレクトリーに移動し、iKeyman ユーティリティーを開始します。 このユーティリティーは、ikeyman.bat (Windows) または ikeyman.sh (UNIX) と呼ばれます。 install_root 変数は WebSphere® Application Server のインストール・パスを参照します。
  2. iKeyman ユーティリティーで、サーバー・トラストストアを開きます。デフォルトの サーバー・トラストストアは、trust.p12 ファイルと呼ばれます。このファイルは、$[USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name> ディレクトリーにあります。 デフォルトのパスワードは、WebAS です。
  3. ikeyman ユーティリティーを使用して、 トラストストアから署名者証明書を抽出します。以下のステップを実行して、 署名者証明書を抽出します。
    1. メニューから「署名者証明書」を選択します。
    2. リストから「root」を選択します。
    3. 抽出」を選択します。
    4. 適切なデータ型を選択します。signer_certificate には、Base64 エンコード ASCII データ型または バイナリー DER データ型を使用できます。
    5. 証明書の完全修飾パスおよびファイル名を指定します。
  4. 非 z/OS プラットフォーム・サーバーの FTP プロンプトから、ascii と入力して、 ファイル転送を ASCII モードに変更します。
  5. 証明書は、階層ファイル・システム (HFS) または MVS データ・セットのファイルとして FTP で z/OS プラットフォームに転送できます。データ・セットとして FTP で転送するには、非 z/OS プラットフォーム・サーバーの FTP プロンプトから、put 'signer_certificate' mvs.dataset を入力します。 signer_certificate 変数は、 非 z/OS プラットフォーム・サーバーの署名者証明書の名前です。 mvs.dataset 変数は、 証明書のエクスポート先のデータ・セット名です。

    HFS のファイルとして FTP で転送するには、非 z/OS プラットフォーム・サーバーの FTP プロンプトから、put 'signer_certificate' file_name を入力します。signer_certificate 変数は、 非 z/OS プラットフォーム・サーバーの署名者証明書の名前です。 file_name 変数は、証明書のエクスポート先の HFS のファイルの名前です。

    次のステップの RACDCERT CERTAUTH ADD コマンドは Multiple Virtual Storage (MVS) データ・セットでのみ機能します。証明書ファイルをバイナリー MVS データ・セットに変換するか、 または HFS ファイルで put コマンドを使用してから、以下のコマンドを使用して、 ファイルを MVS データ・セットにコピーすることができます。

    cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
  6. z/OS プラットフォーム・サーバーで、Interactive System Productivity Facility (ISPF) ダイアログ・パネルのオプション 6 へ進み、 以下のコマンドをスーパーユーザーとして発行して、署名者証明書を z/OS 鍵リングへ追加します。
    1. RACDCERT CERTAUTH ADD ('signer_certificate') WITHLABEL('WebSphere Root Certificate') TRUST と入力します。 WebSphere Root Certificate 変数は、 非 z/OS プラットフォーム・サーバーからインポートする認証局 (CA) 証明書の ラベル名を表します。keyring_name 変数は、 セル内のサーバーにより使用される z/OS 鍵リングの名前を参照します。
    2. RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name) と入力します。
    3. RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name) と入力します。
    4. RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name) と入力します。 前のコマンドで、ASCR1DMCR1、および DMSR1 は、 セルの始動済みのタスクが WebSphere Application Server for z/OS で実行される RACF® ID です。 ASCR1 値は、 アプリケーション・サーバー制御領域の RACF ID です。 DMCR1 値は、デプロイメント・マネージャー制御領域の RACF ID です。 DMSR1 値は、デプロイメント・マネージャー・サーバー領域の RACF ID です。

タスクの結果

上記のステップを完了すると、z/OS 鍵リングには、 非 z/OS プラットフォーム・サーバーで作成された署名者証明書が含まれています。

次のタスク

証明書が追加されたことを検証するには、ISPF ダイアログ・パネルのオプション 6 を使用して、 以下のコマンドを入力します。
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name) 
CBSYMSR1 値は、 アプリケーション・サーバーの領域の RACF ID です。
注: iKeyman は WebSphere Application Server バージョン 6.1 でサポートされますが、 管理コンソールを使用して、署名者証明書をエクスポートすることをお勧めします。

トピックのタイプを示すアイコン タスク・トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslimpsigncerttrustkeyring
ファイル名:tsec_sslimpsigncerttrustkeyring.html