可以将签署者证书(又称为认证中心 (CA) 证书)从
WebSphere® Application Server for z/OS® 导出到信任库。
开始之前
WebSphere Application Server WebSphere Application Server Network Deployment
可在信任库中使用该证书。
过程
- 通过以超级用户身份使用“时间共享选项”(TSO) 选项 6 发出以下资源访问控制设施 (RACF®) 命令,将 z/OS® 签署者证书导出到数据集:
RACDCERT CERTAUTH EXPORT(LABEL('signer_certificate')) DSN('mvs.dataset')FORMAT(CERTDER)
signer_certificate 变量是由单元使用的证书的 RACF 标签名。signer_certificate 可以是基本 64 位编码 ASCII 数据类型或二进制 DER 数据类型。mvs.dataset 变量是证书将导出至的数据集名称。因为 RACF 已创建了此数据集,所以您不需要对其进行预先分配。
- 从非 z/OS 平台服务器上的命令行,输入 cd 并进入以下目录:
$[USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name>
- 在非 z/OS 平台服务器上的 FTP 提示符下,输入 bin 以更改为二进制方式。
- 在非 z/OS 平台服务器上的 FTP 提示符下,输入以下命令:
get 'mvs.dataset' signer_certificate
- 在非 z/OS 平台服务器上,切换至 install_root/bin 目录,然后启动 iKeyman 实用程序(在 Windows 上称为 ikeyman.bat;在 UNIX 上称为 ikeyman.sh)。在 iKeyman 实用程序内,打开服务器信任库。 缺省服务器信任库称为 trust.p12 文件。该文件位于
${USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name>/ 目录。缺省密码是 WebAS。
- 使用 iKeyman 实用程序将导出的签署者证书添加到服务器信任库。完成以下步骤以添加导出的签署者证书:
- 从菜单中选择签署者证书。
- 选择正确的数据类型。签署者证书可以是基本 64 位编码 ASCII 数据类型或二进制 DER 数据类型。
- 指定签署者证书的标准路径和文件名。
- 在 iKeyman 实用程序内,打开客户机信任库。 缺省客户机信任库称为 trust.p12 文件。
该文件位于 ${USER_INSTALL_ROOT}/etc/
目录。缺省密码是 WebAS。
- 使用 iKeyman 实用程序将导出的签署者证书添加到客户机信任库。完成以下步骤以添加导出的签署者证书:
- 从菜单中选择签署者证书。
- 选择正确的数据类型。签署者证书可以是基本 64 位编码 ASCII 数据类型或二进制 DER 数据类型。
- 指定签署者证书的标准路径和文件名。
- 重新启动服务器进程以使用新的签署者证书。
下一步做什么
完成这些步骤后,可将所导出签署者证书与
WebSphere Application Server WebSphere Application Server Network Deployment 产品配合使用。