密码管理 › 同步端点上的密码 › 在 OS400 上的密码同步 › 安装配给服务器证书

安装配给服务器证书

要使用 SSL，必须在您的 iSeries 计算机上安装下列操作系统组件：

• 加密访问服务提供商许可程序 (5722-AC3)
• 数字证书管理器（OS/400 的选项 34）
• IBM HTTP Server for iSeries (5722-DG1)

在 iSeries 上

1. 将配给服务器证书从配给服务器计算机上载到 iSeries。 证书可能位于以下路径：

   C:\Program Files\CA\Identity Manager\Provisioning Server\Data\Tls\server\et2_cacert.pem
   

2. 登录到 DCM。

   使用 Web 浏览器，转到 http://<hostname>:2001。 当出现提示时，以 QSECOFR 身份登录，然后单击数字证书管理器链接

3. 处理 *SYSTEM 证书存储。

   单击“选择证书存储”按钮并且选择 *SYSTEM 证书存储。 如果此存储不存在，请创建名为 *SYSTEM 的新存储，然后输入证书存储密码。

4. 使用 DCM 将证书导入为 CA 证书。

   单击“管理证书”，“导入证书”并选择“Certificate Authority (CA)”选项，然后输入配给服务器证书的文件名。 （这是您在第 1 步中上传证书的位置）。 输入证书的标签“配给服务器”。

   导入证书完成。

5. 在将 CA 证书导入到端点 *SYSTEM 密钥库之后，您必须确保 IBM Directory 客户端 QIBM_GLD_DIRSRV_CLIENT 能够访问 *SYSTEM 密钥库。 否则，PSA 的 SSL 初始化调用会失败。
6. 配置“Directory Services client”（目录服务客户端）应用程序以信任配给服务器证书，方法是打开“Manage Applications”（管理应用程序）、“Define CA trust list”（定义 CA 信任列表），然后选择“Directory Services Client”（目录服务客户端）。

   如果已在第 4 步中正确地导入证书，配给服务器证书应当在此处列出。

   单击配给服务器证书对应的“Trusted”（可信），然后单击列表底部的“OK”（确定）。

7. 将 PUBLIC 读取权限授予 SSL 文件，并将读取访问权限授予 *SYSTEM 证书存储：

   (/QIBM/userdata/ICSS/Cert/Server/default.kdb)
   

   将读取和执行权限授予父文件夹

   (/QIBM/userdata/ICCS/Cert/Server)
   

   注意：采取用户 PWDSYNCH 的授权不会对 / 文件系统起作用，因此必须将访问权限授予所有用户。