密码管理 › 同步端点上的密码 › 在 OS400 上的密码同步 › 安装配给服务器证书

安装配给服务器证书

要使用 SSL，必须在您的 iSeries 计算机上安装下列操作系统组件：

• 加密访问服务提供商许可程序 (5722-AC3)
• 数字证书管理器（OS/400 的选项 34）
• IBM HTTP Server for iSeries (5722-DG1)

在 iSeries 上

1. 将开通服务器证书从开通服务器计算机上传到 iSeries。 证书可能位于以下路径：

   C:\Program Files\CA\Identity Manager\Provisioning Server\Data\Tls\server\et2_cacert.pem
   

2. 登录到 DCM。

   使用 Web 浏览器，转到 http://<hostname>:2001。 当出现提示时，以 QSECOFR 身份登录，然后单击“数字证书管理器”。

3. 单击“选择证书存储”并选择 *SYSTEM 证书存储。 如果此存储不存在，请创建名为 *SYSTEM 的存储，然后输入证书存储密码。
4. 使用 DCM 将证书导入为 CA 证书。

   单击“管理证书”、“导入证书”。 选择“证书频发机构 (CA)”选项，并输入开通服务器证书的文件名。 （这是您在第 1 步中上传证书的位置）。 输入证书的标签“配给服务器”。

5. 在将 CA 证书导入到端点 *SYSTEM 密钥库之后，请确认 IBM Directory 客户端 QIBM_GLD_DIRSRV_CLIENT 能够访问 *SYSTEM 密钥库。 否则，PSA 的 SSL 初始化调用会失败。
6. 配置“目录服务客户端”应用程序以信任开通服务器证书，方法是打开“管理应用程序”、“定义 CA 信任列表”，然后选择“目录服务客户端”。

   如果已在第 4 步中正确地导入证书，配给服务器证书应当在此处列出。

   单击“信任开通服务器证书”，然后单击“确定”。

7. 将 PUBLIC 读取权限授予 SSL 文件，并将读取访问权限授予 *SYSTEM 证书存储：

   (/QIBM/userdata/ICSS/Cert/Server/default.kdb)
   

   将读取和执行权限授予父文件夹

   (/QIBM/userdata/ICCS/Cert/Server)
   

   注意：采取用户 PWDSYNCH 的授权不会对 / 文件系统起作用，因此必须将访问权限授予所有用户。