Você pode importar um certificado de signatário, chamado também de certificado de autoridade de certificação (CA), de um truststore em um servidor de plataforma não-z/OS para um anel de chaves do z/OS.
Procedimento
- No servidor de plataformas não-z/OS, vá para o diretório install_root/bin e inicie o
utilitário iKeyman, que é chamado ikeyman.bat (Windows)
ou ikeyman.sh (UNIX). A variável install_root refere-se
ao caminho de instalação do WebSphere Application Server.
- Dentro do utilitário iKeyman, abra o armazenamento de confiança do
servidor.
O armazenamento de confiança do servidor padrão é denominado arquivo
trust.p12.
O arquivo está localizado no diretório
$[USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name>.
A senha padrão é WebAS.
- Extraia o certificado signatário do armazenamento de confiança usando o utilitário ikeyman. Conclua as seguintes etapas para extrair o certificado signatário.
- Selecione os Certificados Signatários no menu.
- Selecione root na lista.
- Selecione Extrair.
- Selecione o tipo de dados correto. O signer_certificate pode ter
um tipo de dados ASCII codificado para Base64 ou um tipo de dados Binary DER.
- Especifique o caminho completo e o nome do arquivo do certificado.
- A partir de um prompt de FTP no servidor de plataforma não-z/OS, digite
ascii para alterar a transferência de arquivos para o modo
ascii.
- Você pode transferir via ftp o certificado para a plataforma z/OS como um arquivo
no Sistema de Arquivo Hierárquico (HFS) ou como um conjunto de dados do MVS.
Para transferir via ftp como um conjunto de dados:
em um prompt do FTP no servidor de plataforma não-z/OS, digite put 'signer_certificate'
mvs.dataset. A variável
signer_certificate se refere ao nome do certificado signatário no
servidor de plataforma não-z/OS. A variável mvs.dataset é o nome do conjunto de dados para o qual o
certificado foi exportado.
Para transferir via ftp como um arquivo
no HFS: em um prompt do FTP no servidor de plataforma não-z/OS, digite put
'signer_certificate' file_name. A variável
signer_certificate se refere ao nome do certificado signatário no
servidor de plataforma não-z/OS. A variável file_name é o nome do arquivo no HFS para o qual
o certificado foi exportado.
O comando RACDCERT CERTAUTH ADD na
próxima etapa trabalha apenas com um conjunto de dados MVS
(Multiple Virtual Storage). É possível transformar o arquivo de certificado em um conjunto de dados MVS
binário ou usar o comando put com um arquivo HFS e, em seguida, usar o seguinte comando para copiar
o arquivo em um conjunto de dados MVS:
cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
- No servidor de plataforma z/OS, vá para a opção 6 dos painéis de diálogo ISPF (Interactive
System Productivity Facility) e emita os seguintes comandos como um superusuário para incluir o certificado de signatário no anel de chaves do z/OS:
- Digite RACDCERT CERTAUTH ADD ('signer_certificate')
WITHLABEL('WebSphere Root Certificate') TRUST . A variável WebSphere Root Certificate se refere ao nome do rótulo para o
certificado da CA (autoridade de certificação) que você está importando de um servidor de
plataforma não z/OS. A variável keyring_name
refere-se ao nome do anel de chaves do z/OS que é utilizado pelos servidores da célula.
- Digite RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name)
- Digite RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name)
- Digite RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name) Nos comandos anteriores,
ASCR1, DMCR1 e DMSR1 são os IDs do RACF nos quais as
tarefas iniciadas da célula são executadas no WebSphere Application Server for z/OS.
O valor ASCR1 é o ID do RACF da região de controle do servidor de
aplicativos. O valor DMCR1 é o ID do RACF da região de controle do gerenciador de implementação.
O valor DMSR1 é o ID do RACF da região do servidor do gerenciador de implementação.
Resultados
Depois de concluir essas etapas, o anel de chaves do z/OS conterá os certificados de signatário
que se originaram no servidor de plataforma não z/OS.
O que Fazer Depois
Para verificar se os certificados foram incluídos, utilize a opção
6 no painel de diálogo ISPF e digite o seguinte comando:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name)
O valor
CBSYMSR1 é o ID do
RACF
da região do servidor de aplicativos.
Nota: Embora o iKeyman seja suportado no WebSphere Application
Server Versão 6.1, os clientes são encorajados a utilizar o console administrativo para exportar
certificados de signatário.