[z/OS]

配置根证书密钥环

WebSphere® Application Server 提供的功能允许 WebSphere Application Server 管理员通过将 OCSF(开放式加密服务工具)数据库功能用于系统授权工具 (SAF) 密钥环,对 SAF 密钥环执行证书管理操作。本任务配置根证书密钥环。

开始之前

在生成应用程序服务器概要文件之前,必须使用 Profile Management Tool 启用对可写密钥环的支持。仅当运行 z/OS® R1.9 或者带有 APAR OA22287 - 资源访问控制设施 (RACF®)(或者等效安全性产品的 APAR)以及 APAR OA22295 - SAF 的 z/OS R1.8 时,才可对可写密钥环支持进行配置。

关于此任务

根认证中心 (CA) 证书用于签署 WebSphere Application Server 的其他证书。缺省情况下,在概要文件管理期间,会自动配置缺省根密钥环(对于 Deployment Manager,为 NodeDefaultRootStoreDmgrDefaultRootStore)和根 CA 证书。或者,如果从先前 WebSphere Application Server 安装迁移,那么可执行以下步骤,为密钥库对象设置根密钥环。

过程

  1. 为服务器的控制区域 RACF 标识创建密钥环。例如,如果服务器正在以 RACF 用户标识 CRRACFID 运行,请发出以下命令:
    RACDCERT ADDRING(keyring_name.Root) ID(CRRACFID)
    CRRACFID 是应用程序服务器控制区域的 RACF 标识。keyring_name 是单元中服务器所使用的 z/OS 密钥环的名称。
  2. 为了使用根 CA 证书来创建链接的证书,在步骤 (1) 中创建的密钥环必须包括针对 WebSphere Application Server 安装生成的公用/专用密钥 CA 证书。要连接该证书,您必须完成以下步骤:

    确定安装的根 CA 证书的标签名称,并发出以下命令:

    RACDCERT ID(CRRACFID) CONNECT (RING(keyring_name.Root) LABEL('rootcalabel') CERTAUTH USAGE(PERSONAL))
    CRRACFID 是应用程序服务器控制区域的 RACF 标识。keyring_name 是单元中服务器所使用的 z/OS 密钥环的名称。rootcalabel 是根 CA 证书。
  3. 修改 NodeDefaultRootStore(对于 Deployment Manager,为 DmgrDefaultRootStore),以指向步骤 (1) 中创建的密钥环。
    1. 单击安全性 > SSL 证书和密钥管理 > 密钥库和证书
    2. 在“密钥库用途”下选择根证书密钥库
    3. 选择 NodeDefaultRootStore(对于 Deployment Manager,为 DmgrDefaultRootStore)。
    4. 在“常规属性”下:
      1. 修改路径
        safkeyring://CRRACFID/keyring_name.Root

        CRRACFID 是应用程序服务器控制区域的 RACF 标识。keyring_name 是单元中服务器所使用的 z/OS 密钥环的名称。

      2. 将类型更改为 JCERACFKS。
      3. 输入密码 password
    5. 单击应用

结果

在完成这些步骤后,会创建新的 z/OS 密钥环来包含附加了个人用途的根 CA 证书。

下一步做什么

验证是否已成功修改密钥库。
  1. 在密钥库集合面板上的“其他属性”下,单击个人证书
  2. 验证证书是否出现在列表中。
已知错误情况
  • 尝试创建新的密钥环时,会出现以下错误消息:
    R_datalib (IRRSDL00) error: One or more updates could not be completed.
    Requested Function_code not defined.
    Function code: (7) Return Codes: (8, 8, 20)
    此消息指示您尝试创建新的密钥环,但未安装本机可写支持。必须在 z/OS R1.9 或 R1.8(带有 APAR 的 OA22287 和 OA22295)上运行。
  • 如果尝试对 SAF 密钥环执行诸如创建或删除证书之类的写操作,那么会出现以下消息:
    Error Message: An error occurred creating the key store: R_datalib (IRRSDL00) error: One or more updates could not be completed. 
    Not RACF authorized to use the requested service. Function code: (7) Return Codes: (8, 8, 8)
    如果尚未定义正确的 RACF 权限,那么会收到此消息。请参阅 z/OS 因特网库 http://www-03.ibm.com/servers/eserver/zseries/zos/bkserv/ 中的定义客户机和服务器的 RACF 权限文档。
  • 当执行写操作时,如果底层的密钥环不存在于 RACF 中,那么可能会出现以下消息。
    R_datalib (IRRSDL00) error: profile for ring not found (8, 8, 84)
    在执行证书管理写操作前,请确保该密钥环存在于 RACF 中。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_7configureSAF_keyring
文件名:tsec_7configureSAF_keyring.html