您可以將簽章者憑證(亦稱為憑證管理中心 (CA) 憑證),從位於非 z/OS 平台伺服器上的信任儲存庫,匯入至 z/OS® 金鑰環。
程序
- 在非 z/OS 平台伺服器上,切換至 install_root/bin 目錄,並啟動 iKeyman 公用程式,其名稱是 ikeyman.bat (Windows) 或 ikeyman.sh (UNIX)。 install_root 變數是指 WebSphere® Application
Server 的安裝路徑。
- 在 iKeyman 公用程式內,開啟伺服器信任儲存庫。預設伺服器信任儲存庫稱為
trust.p12 檔。這個檔案位於 $[USER_INSTALL_ROOT}/config/cells/<cell_name>/nodes/<node_name> 目錄中。
預設密碼是 WebAS。
- 使用 ikeyman 公用程式,從信任儲存庫擷取簽章者憑證。請完成下列步驟,來擷取簽章者憑證:
- 從功能表中選取簽章者憑證。
- 從清單中選取 root。
- 選取擷取。
- 選取正確的資料類型。signer_certificate 可以是 Base64 編碼 ASCII 資料類型或二進位 DER 資料類型。
- 指定憑證的完整路徑和檔名。
- 在非 z/OS 平台伺服器上,從 FTP 提示輸入 ascii,將檔案傳送改為 ASCII 模式。
- 您可以利用 FTP,以「階層式檔案系統 (HFS)」中的檔案形式,或是 MVS 資料集形式,將憑證傳送至 z/OS 平台。如果要利用 FTP 以資料集形式傳送:請在非 z/OS 平台伺服器上,從 FTP 提示輸入 put 'signer_certificate'
mvs.dataset。 signer_certificate 變數是指非 z/OS 平台伺服器上的簽章者憑證名稱。mvs.dataset 變數是作為憑證匯出目標的資料集名稱。
如果要利用 FTP 以 HFS 中的檔案形式傳送:請在非 z/OS 平台伺服器上,從 FTP 提示輸入 put
'signer_certificate' file_name。signer_certificate 變數是指非 z/OS 平台伺服器上的簽章者憑證名稱。file_name 變數是 HFS 中作為憑證匯出目標的檔案名稱。
下一步驟中的 RACDCERT CERTAUTH ADD
指令僅適用於「多重虛擬儲存體 (MVS)」資料集。您可以將憑證檔轉換成二進位 MVS 資料集,或對 HFS 檔案執行 put 指令,然後使用下列指令,將檔案複製到 MVS 資料集:
cp -B /u/veser/Cert/W21S01N.p12 "//'VESER.CERT.W21S01N'"
- 在 z/OS 平台伺服器上,移至「互動式系統輔助機能 (ISPF)」對話框畫面中的選項 6,並以超級使用者身分發出下列指令,將簽章者憑證新增至 z/OS 金鑰環:
- 輸入 RACDCERT CERTAUTH ADD ('signer_certificate')
WITHLABEL('WebSphere Root Certificate') TRUST。 「WebSphere 主要憑證」變數是指您從非 z/OS 平台伺服器匯入之憑證管理中心 (CA) 憑證的標籤名稱。keyring_name 變數是指 Cell 中之伺服器使用的
z/OS 金鑰環名稱。
- 輸入 RACDCERT ID(ASCR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name)
- 輸入 RACDCERT ID(DMCR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name)
- 輸入 RACDCERT ID(DMSR1) CONNECT(CERTAUTH LABEL('WebSphere
Root Certificate') RING(keyring_name) 在上述指令中,ASCR1、DMCR1 和 DMSR1 是 Cell 的啟動作業在 WebSphere Application
Server for z/OS 中執行時所用的 RACF® ID。ASCR1 值是應用程式伺服器控制區域的 RACF ID。DMCR1 值是部署管理程式控制區域的 RACF ID。DMSR1 值是部署管理程式伺服器區域的 RACF ID。
結果
完成這些步驟之後,z/OS 金鑰環即包含源自於非 z/OS 平台伺服器的簽章者憑證。
下一步
如果要驗證是否已新增憑證,請在 ISPF 對話框畫面上使用選項 6,並輸入下列指令:
RACDCERT ID(CBSYMSR1) LISTRING(keyring_name)
CBSYMSR1 值是應用程式伺服器區域的
RACF ID。
註: 雖然 WebSphere Application
Server 6.1 版支援 iKeyman,仍鼓勵客戶使用管理主控台,來匯出簽章者憑證。