Kennwort-Management › Synchronisieren von Kennwörtern auf Endpunkten › Kennwortsynchronisierung auf OS400 › Installieren des Zertifikats für den Bereitstellungsserver

Installieren des Zertifikats für den Bereitstellungsserver

Die folgenden Betriebssystemkomponenten müssen auf Ihrem iSeries-Rechner installiert sein, damit SSL verwendet werden kann:

• Cryptographic Access Provider, lizenziertes Programm (5722-AC3)
• Digital Certificate Manager (Option 34 von OS/400)
• IBM-HTTP-Server für iSeries (5722-DG1)

Auf der iSeries

1. Laden Sie das Zertifikat des Bereitstellungsservers vom Bereitstellungsserver-Computer auf die iSeries hoch. Das Zertifikat befindet sich unter:

   C:\Programme\CA\Identity Manager\Provisioning Server\Data\Tls\server\et2_cacert.pem
   

2. Melden Sie sich beim DCM an.

   Navigieren Sie mithilfe eines Webbrowsers zu http://<Hostname>:2001. Wenn Sie dazu aufgefordert werden, melden Sie sich als QSECOFR an, und klicken Sie auf den Digital Certificate Manager-Link.

3. Arbeiten Sie mit dem *SYSTEM-Zertifikatspeicher.

   Klicken Sie auf die Schaltfläche "Wählen Sie einen Zertifikatspeicher aus", und wählen Sie den *SYSTEM-Zertifikatspeicher aus. Wenn dieser Speicher nicht vorhanden ist, erstellen Sie einen neuen Speicher mit dem Namen *SYSTEM, und geben Sie dann das Kennwort für den Zertifikatspeicher ein.

4. Importieren Sie das Zertifikat als CA Zertifikat mithilfe des DCM.

   Klicken Sie auf "Zertifikate verwalten", "Zertifikat importieren", und wählen Sie die Option "Certificate Authority (CA)" (Zertifizierungsstelle) aus. Geben Sie dann den Dateinamen des Zertifikats des Bereitstellungsservers ein. (Das Zertifikat befindet sich in dem Ordner, in den Sie es in Schritt 1 hochgeladen haben.) Geben Sie die Bezeichnung "Bereitstellungsserver" für das Zertifikat ein.

   Das Importieren des Zertifikats ist abgeschlossen.

5. Nachdem Sie das CA-Zertifikat in den *SYSTEM-Schlüsselspeicher auf dem Endpunkt importiert haben, müssen Sie sicherstellen, dass der IBM Directory-Client QIBM_GLD_DIRSRV_CLIENT auf den *SYSTEM-Schlüsselspeicher zugreifen kann. Andernfalls schlägt der SSL-Initialisierungsaufruf des PSA fehl.
6. Konfigurieren Sie die Verzeichnisdienste-Client-Anwendung so, dass das Zertifikat des Bereitstellungsservers als vertrauensvoll eingestuft wird, indem Sie "Manage Applications" (Anwendungen verwalten) und "Define CA trust list" (Vertrauensliste der Zertifizierungsstelle definieren) öffnen und "Directory Services Client" auswählen.

   Das Zertifikat des Bereitstellungsservers sollte hier aufgeführt sein, wenn es in Schritt 4 richtig importiert wurde.

   Klicken Sie für das Zertifikat des Bereitstellungsservers auf "Vertrauenswürdig", und klicken Sie am Ende der Liste auf "OK".

7. Erteilen Sie den SSL-Dateien die Leseberechtigung PUBLIC, und gewähren Sie Lesezugriff auf den *SYSTEM-Zertifikatspeicher:

   (/QIBM/userdata/ICSS/Cert/Server/default.kdb)
   

   Erteilen Sie dem übergeordneten Ordner die Berechtigungen "Lesen" und "Ausführen".

   (/QIBM/userdata/ICCS/Cert/Server)
   

   Hinweis: Die Übernahme der PWDSYNCH-Berechtigung von Benutzern funktioniert im Dateisystem mit dem /-Zeichen nicht, sodass Zugriff für alle Benutzer erteilt werden muss.