[z/OS]

將簽章者憑證從信任儲存庫匯入至 z/OS 金鑰環

您可以將簽章者憑證(亦稱為憑證管理中心 (CA) 憑證),從位於非 z/OS 平台伺服器上的信任儲存庫,匯入至 z/OS® 金鑰環。

程序

  1. 在非 z/OS 平台伺服器上,切換至 install_root/bin 目錄,並啟動 iKeyman 公用程式,其名稱是 ikeyman.bat (Windows) 或 ikeyman.sh (UNIX)。 install_root 變數是指 WebSphere® Application Server 的安裝路徑。
  2. 在 iKeyman 公用程式內,開啟伺服器信任儲存庫。預設伺服器信任儲存庫稱為 trust.p12 檔。這個檔案位於 $[USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name> 目錄中。 預設密碼是 WebAS
  3. 使用 ikeyman 公用程式,從信任儲存庫擷取簽章者憑證。請完成下列步驟,來擷取簽章者憑證:
    1. 從功能表中選取簽章者憑證
    2. 從清單中選取 root
    3. 選取擷取
    4. 選取正確的資料類型。signer_certificate 可以是 Base64 編碼 ASCII 資料類型或二進位 DER 資料類型。
    5. 指定憑證的完整路徑和檔名。
  4. 在非 z/OS 平台伺服器上,從 FTP 提示輸入 ascii,將檔案傳送改為 ASCII 模式。
  5. 您可以利用 FTP,以「階層式檔案系統 (HFS)」中的檔案形式,或是 MVS 資料集形式,將憑證傳送至 z/OS 平台。如果要利用 FTP 以資料集形式傳送:請在非 z/OS 平台伺服器上,從 FTP 提示輸入 put 'signer_certificate' mvs.dataset signer_certificate 變數是指非 z/OS 平台伺服器上的簽章者憑證名稱。mvs.dataset 變數是作為憑證匯出目標的資料集名稱。

    如果要利用 FTP 以 HFS 中的檔案形式傳送:請在非 z/OS 平台伺服器上,從 FTP 提示輸入 put 'signer_certificate' file_namesigner_certificate 變數是指非 z/OS 平台伺服器上的簽章者憑證名稱。file_name 變數是 HFS 中作為憑證匯出目標的檔案名稱。

    下一步驟中的 RACDCERT CERTAUTH ADD 指令僅適用於「多重虛擬儲存體 (MVS)」資料集。您可以將憑證檔轉換成二進位 MVS 資料集,或對 HFS 檔案執行 put 指令,然後使用下列指令,將檔案複製到 MVS 資料集:

    cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
  6. 在 z/OS 平台伺服器上,移至「互動式系統輔助機能 (ISPF)」對話框畫面中的選項 6,並以超級使用者身分發出下列指令,將簽章者憑證新增至 z/OS 金鑰環:
    1. 輸入 RACDCERT CERTAUTH ADD ('signer_certificate') WITHLABEL('WebSphere Root Certificate') TRUST 「WebSphere 主要憑證」變數是指您從非 z/OS 平台伺服器匯入之憑證管理中心 (CA) 憑證的標籤名稱。keyring_name 變數是指 Cell 中之伺服器使用的 z/OS 金鑰環名稱。
    2. 輸入 RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
    3. 輸入 RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name)
    4. 輸入 RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere Root Certificate') RING(keyring_name) 在上述指令中,ASCR1DMCR1DMSR1 是 Cell 的啟動作業在 WebSphere Application Server for z/OS 中執行時所用的 RACF® ID。ASCR1 值是應用程式伺服器控制區域的 RACF ID。DMCR1 值是部署管理程式控制區域的 RACF ID。DMSR1 值是部署管理程式伺服器區域的 RACF ID。

結果

完成這些步驟之後,z/OS 金鑰環即包含源自於非 z/OS 平台伺服器的簽章者憑證。

下一步

如果要驗證是否已新增憑證,請在 ISPF 對話框畫面上使用選項 6,並輸入下列指令:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name) 
CBSYMSR1 值是應用程式伺服器區域的 RACF ID。
註: 雖然 WebSphere Application Server 6.1 版支援 iKeyman,仍鼓勵客戶使用管理主控台,來匯出簽章者憑證。

指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslimpsigncerttrustkeyring
檔名:tsec_sslimpsigncerttrustkeyring.html