[z/OS]

Importando um Certificado de Signatário de um Truststore para um Anel de Chaves do z/OS

Você pode importar um certificado de signatário, chamado também de certificado de autoridade de certificação (CA), de um truststore em um servidor de plataforma não-z/OS para um anel de chaves do z/OS.

Procedimento

  1. No servidor de plataformas não-z/OS, vá para o diretório install_root/bin e inicie o utilitário iKeyman, que é chamado ikeyman.bat (Windows) ou ikeyman.sh (UNIX). A variável install_root refere-se ao caminho de instalação do WebSphere Application Server.
  2. Dentro do utilitário iKeyman, abra o armazenamento de confiança do servidor. O armazenamento de confiança do servidor padrão é denominado arquivo trust.p12. O arquivo está localizado no diretório $[USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name>. A senha padrão é WebAS.
  3. Extraia o certificado signatário do armazenamento de confiança usando o utilitário ikeyman. Conclua as seguintes etapas para extrair o certificado signatário.
    1. Selecione os Certificados Signatários no menu.
    2. Selecione root na lista.
    3. Selecione Extrair.
    4. Selecione o tipo de dados correto. O signer_certificate pode ter um tipo de dados ASCII codificado para Base64 ou um tipo de dados Binary DER.
    5. Especifique o caminho completo e o nome do arquivo do certificado.
  4. A partir de um prompt de FTP no servidor de plataforma não-z/OS, digite ascii para alterar a transferência de arquivos para o modo ascii.
  5. Você pode transferir via ftp o certificado para a plataforma z/OS como um arquivo no Sistema de Arquivo Hierárquico (HFS) ou como um conjunto de dados do MVS. Para transferir via ftp como um conjunto de dados: em um prompt do FTP no servidor de plataforma não-z/OS, digite put 'signer_certificate' mvs.dataset. A variável signer_certificate se refere ao nome do certificado signatário no servidor de plataforma não-z/OS. A variável mvs.dataset é o nome do conjunto de dados para o qual o certificado foi exportado.

    Para transferir via ftp como um arquivo no HFS: em um prompt do FTP no servidor de plataforma não-z/OS, digite put 'signer_certificate' file_name. A variável signer_certificate se refere ao nome do certificado signatário no servidor de plataforma não-z/OS. A variável file_name é o nome do arquivo no HFS para o qual o certificado foi exportado.

    O comando RACDCERT CERTAUTH ADD na próxima etapa trabalha apenas com um conjunto de dados MVS (Multiple Virtual Storage). É possível transformar o arquivo de certificado em um conjunto de dados MVS binário ou usar o comando put com um arquivo HFS e, em seguida, usar o seguinte comando para copiar o arquivo em um conjunto de dados MVS:

    cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
  6. No servidor de plataforma z/OS, vá para a opção 6 dos painéis de diálogo ISPF (Interactive System Productivity Facility) e emita os seguintes comandos como um superusuário para incluir o certificado de signatário no anel de chaves do z/OS:
    1. Digite RACDCERT CERTAUTH ADD ('signer_certificate') WITHLABEL('WebSphere Root Certificate') TRUST . A variável WebSphere Root Certificate se refere ao nome do rótulo para o certificado da CA (autoridade de certificação) que você está importando de um servidor de plataforma não z/OS. A variável keyring_name refere-se ao nome do anel de chaves do z/OS que é utilizado pelos servidores da célula.
    2. Digite RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
    3. Digite RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
    4. Digite RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name) Nos comandos anteriores, ASCR1, DMCR1 e DMSR1 são os IDs do RACF nos quais as tarefas iniciadas da célula são executadas no WebSphere Application Server for z/OS. O valor ASCR1 é o ID do RACF da região de controle do servidor de aplicativos. O valor DMCR1 é o ID do RACF da região de controle do gerenciador de implementação. O valor DMSR1 é o ID do RACF da região do servidor do gerenciador de implementação.

Resultados

Depois de concluir essas etapas, o anel de chaves do z/OS conterá os certificados de signatário que se originaram no servidor de plataforma não z/OS.

O que Fazer Depois

Para verificar se os certificados foram incluídos, utilize a opção 6 no painel de diálogo ISPF e digite o seguinte comando:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name) 
O valor CBSYMSR1 é o ID do RACF da região do servidor de aplicativos.
Nota: Embora o iKeyman seja suportado no WebSphere Application Server Versão 6.1, os clientes são encorajados a utilizar o console administrativo para exportar certificados de signatário.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslimpsigncerttrustkeyring
Nome do arquivo: tsec_sslimpsigncerttrustkeyring.html