![[z/OS]](../images/ngzos.gif)
将签署者证书从信任库导入到 z/OS 密钥环
可以将签署者证书(又称为认证中心 (CA) 证书)从非 z/OS 平台服务器上的信任库导入 z/OS® 密钥环。
过程
- 在非 z/OS 平台服务器上,切换至 install_root/bin 目录并启动名为 ikeyman.bat (Windows) 或 ikeyman.sh (UNIX) 的 iKeyman 实用程序。 install_root 变量指的是 WebSphere® Application Server 的安装路径。
- 在 iKeyman 实用程序内,打开服务器信任库。缺省服务器信任库称为 trust.p12 文件。该文件位于 $[USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name> 目录。缺省密码是 WebAS。
- 使用 ikeyman 实用程序从信任库抽取签署者证书。完成以下步骤以抽取签署者证书:
- 从菜单中选择签署者证书。
- 从列表中选择根。
- 选择抽取。
- 选择正确的数据类型。signer_certificate 可以是基本 64 位编码 ASCII 数据类型或二进制 DER 数据类型。
- 指定证书的标准路径和文件名。
- 在非 z/OS 平台服务器上的 FTP 提示符下,输入 ascii 以将文件传输更改为 ASCII 方式。
- 可以将证书以分层文件系统 (HFS) 中的一个文件或以一个 MVS 数据集的形式通过 FTP 传输至 z/OS 平台。要以数据集形式通过 FTP 进行传输,请在非 z/OS 平台服务器上的 FTP 提示符下,输入 put 'signer_certificate'
mvs.dataset。 signer_certificate 变量指非 z/OS 平台服务器上签署者证书的名称。mvs.dataset 变量是证书已导出至的数据集名称。
要以 HFS 中的文件的形式通过 FTP 进行传输,请在非 z/OS 平台服务器上的 FTP 提示符下,输入 put 'signer_certificate' file_name。signer_certificate 变量指非 z/OS 平台服务器上签署者证书的名称。file_name 变量是证书将导出至的 HFS 中文件的名称。
下一个步骤中的 RACDCERT CERTAUTH ADD 命令仅使用多重虚拟存储器 (MVS) 数据集。可以将证书文件转换为二进制 MVS 数据集,或将 put 命令与 HFS 文件配合使用,然后使用以下命令将该文件复制到 MVS 数据集:
cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
- 在 z/OS 平台服务器上,转至“交互式系统生产率设施”(ISPF) 对话面板中的选项 6
并以超级用户身份发出以下命令以将签署者证书添加到 z/OS 密钥环:
- 输入 RACDCERT CERTAUTH ADD ('signer_certificate') WITHLABEL('WebSphere Root Certificate') TRUST。 WebSphere Root Certificate 变量指您从非 z/OS 平台服务器导入的认证中心 (CA) 证书的标签名。keyring_name 变量指由单元中服务器使用的 z/OS 密钥环的名称。
- 输入 RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
- 输入 RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
- 输入 RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name) 在上述命令中,ASCR1、DMCR1 和 DMSR1 是单元的已启动任务在 WebSphere Application Server for z/OS 中运行时所使用的 RACF® 标识。ASCR1 值是应用程序服务器控制区域的 RACF 标识。DMCR1 值是 Deployment Manager 控制区域的 RACF 标识。DMSR1 值是 Deployment Manager 服务器区域的 RACF 标识。
结果
下一步做什么
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name)
CBSYMSR1 值是应用程序服务器区域的 RACF 标识。
注: 尽管 WebSphere Application Server V6.1 支持
iKeyman,但建议客户使用管理控制台来导出签署者证书。


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslimpsigncerttrustkeyring
文件名:tsec_sslimpsigncerttrustkeyring.html