Kennwort-Management › Synchronisieren von Kennwörtern auf Endpunkten › Kennwortsynchronisierung auf OS400 › Installieren des Zertifikats für den Bereitstellungsserver

Installieren des Zertifikats für den Bereitstellungsserver

Die folgenden Betriebssystemkomponenten müssen auf Ihrem iSeries-Rechner installiert sein, damit SSL verwendet werden kann:

• Cryptographic Access Provider, lizenziertes Programm (5722-AC3)
• Digital Certificate Manager (Option 34 von OS/400)
• IBM-HTTP-Server für iSeries (5722-DG1)

Auf der iSeries

1. Laden Sie das Zertifikat des Bereitstellungsservers vom Bereitstellungsserver-Computer auf die iSeries hoch. Das Zertifikat befindet sich unter:

   C:\Programme\CA\Identity Manager\Provisioning Server\Data\Tls\server\et2_cacert.pem
   

2. Melden Sie sich bei DCM an.

   Navigieren Sie mithilfe eines Webbrowsers zu http://<Hostname>:2001. Wenn Sie dazu aufgefordert werden, melden Sie sich als QSECOFR an, und klicken Sie auf Digital Certificate Manager.

3. Wählen Sie als Zertifikatsspeicher den *SYSTEM-Zertifikatsspeicher aus. Wenn dieser Speicher nicht vorhanden ist, erstellen Sie einen neuen Speicher mit dem Namen *SYSTEM, und geben Sie dann das Kennwort für den Zertifikatspeicher ein.
4. Importieren Sie das Zertifikat als CA Zertifikat mithilfe des DCM.

   Klicken Sie auf "Zertifikatsverwaltung", "Import Certificate" (Zertifikat importieren). Wählen Sie die Zertifizierungsstelle (CA) aus und geben Sie den Dateinamen des Bereitstellungsserver-Zertifikats ein. (Das Zertifikat befindet sich in dem Ordner, in den Sie es in Schritt 1 hochgeladen haben.) Geben Sie die Bezeichnung "Bereitstellungsserver" für das Zertifikat ein.

5. Nachdem Sie das CA-Zertifikat in den *SYSTEM-Schlüsselspeicher auf dem Endpunkt importiert haben, müssen Sie sicherstellen, dass der IBM Directory-Client QIBM_GLD_DIRSRV_CLIENT auf den *SYSTEM-Schlüsselspeicher zugreifen kann. Andernfalls schlägt der SSL-Initialisierungsaufruf des PSA fehl.
6. Konfigurieren Sie die Verzeichnisdienste-Client-Anwendung so, dass das Zertifikat des Bereitstellungsservers als vertrauensvoll eingestuft wird, indem Sie "Manage Applications" (Anwendungen verwalten) und "Define CA trust list" (Vertrauensliste der Zertifizierungsstelle definieren) öffnen und "Directory Services Client" auswählen.

   Das Zertifikat des Bereitstellungsservers sollte hier aufgeführt sein, wenn es in Schritt 4 richtig importiert wurde.

   Stufen Sie das Bereitstellungsserverzertifikat als "Vertrauenswürdig" ein und klicken Sie dann auf "OK".

7. Erteilen Sie den SSL-Dateien die Leseberechtigung PUBLIC, und gewähren Sie Lesezugriff auf den *SYSTEM-Zertifikatspeicher:

   (/QIBM/userdata/ICSS/Cert/Server/default.kdb)
   

   Erteilen Sie dem übergeordneten Ordner die Berechtigungen "Lesen" und "Ausführen".

   (/QIBM/userdata/ICCS/Cert/Server)
   

   Hinweis: Die Übernahme der PWDSYNCH-Berechtigung von Benutzern funktioniert im Dateisystem mit dem /-Zeichen nicht, sodass Zugriff für alle Benutzer erteilt werden muss.