[z/OS]

将签署者证书从信任库导入到 z/OS 密钥环

可以将签署者证书(又称为认证中心 (CA) 证书)从非 z/OS 平台服务器上的信任库导入 z/OS® 密钥环。

过程

  1. 在非 z/OS 平台服务器上,切换至 install_root/bin 目录并启动名为 ikeyman.bat (Windows) 或 ikeyman.sh (UNIX) 的 iKeyman 实用程序。 install_root 变量指的是 WebSphere® Application Server 的安装路径。
  2. 在 iKeyman 实用程序内,打开服务器信任库。缺省服务器信任库称为 trust.p12 文件。该文件位于 $[USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name> 目录。缺省密码是 WebAS
  3. 使用 ikeyman 实用程序从信任库抽取签署者证书。完成以下步骤以抽取签署者证书:
    1. 从菜单中选择签署者证书
    2. 从列表中选择
    3. 选择抽取
    4. 选择正确的数据类型。signer_certificate 可以是基本 64 位编码 ASCII 数据类型或二进制 DER 数据类型。
    5. 指定证书的标准路径和文件名。
  4. 在非 z/OS 平台服务器上的 FTP 提示符下,输入 ascii 以将文件传输更改为 ASCII 方式。
  5. 可以将证书以分层文件系统 (HFS) 中的一个文件或以一个 MVS 数据集的形式通过 FTP 传输至 z/OS 平台。要以数据集形式通过 FTP 进行传输,请在非 z/OS 平台服务器上的 FTP 提示符下,输入 put 'signer_certificate' mvs.dataset signer_certificate 变量指非 z/OS 平台服务器上签署者证书的名称。mvs.dataset 变量是证书已导出至的数据集名称。

    要以 HFS 中的文件的形式通过 FTP 进行传输,请在非 z/OS 平台服务器上的 FTP 提示符下,输入 put 'signer_certificate' file_namesigner_certificate 变量指非 z/OS 平台服务器上签署者证书的名称。file_name 变量是证书将导出至的 HFS 中文件的名称。

    下一个步骤中的 RACDCERT CERTAUTH ADD 命令仅使用多重虚拟存储器 (MVS) 数据集。可以将证书文件转换为二进制 MVS 数据集,或将 put 命令与 HFS 文件配合使用,然后使用以下命令将该文件复制到 MVS 数据集:

    cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
  6. 在 z/OS 平台服务器上,转至“交互式系统生产率设施”(ISPF) 对话面板中的选项 6 并以超级用户身份发出以下命令以将签署者证书添加到 z/OS 密钥环:
    1. 输入 RACDCERT CERTAUTH ADD ('signer_certificate') WITHLABEL('WebSphere Root Certificate') TRUST WebSphere Root Certificate 变量指您从非 z/OS 平台服务器导入的认证中心 (CA) 证书的标签名。keyring_name 变量指由单元中服务器使用的 z/OS 密钥环的名称。
    2. 输入 RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
    3. 输入 RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
    4. 输入 RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name) 在上述命令中,ASCR1DMCR1DMSR1 是单元的已启动任务在 WebSphere Application Server for z/OS 中运行时所使用的 RACF® 标识。ASCR1 值是应用程序服务器控制区域的 RACF 标识。DMCR1 值是 Deployment Manager 控制区域的 RACF 标识。DMSR1 值是 Deployment Manager 服务器区域的 RACF 标识。

结果

在完成这些步骤后,z/OS 密钥环包含源于非 z/OS 平台服务器上的签署者证书。

下一步做什么

要验证是否添加了证书,请使用 ISPF 对话面板上的选项 6 并输入以下命令:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name) 
CBSYMSR1 值是应用程序服务器区域的 RACF 标识。
注: 尽管 WebSphere Application Server V6.1 支持 iKeyman,但建议客户使用管理控制台来导出签署者证书。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslimpsigncerttrustkeyring
文件名:tsec_sslimpsigncerttrustkeyring.html