Gestione delle password › Password di sincronizzazione sugli endpoint › Sincronizzazione password su OS400 › Installazione del certificato del server di provisioning

Installazione del certificato del server di provisioning

Per utilizzare SSL, è necessario installare i seguenti componenti del sistema operativo sul computer iSeries:

• Programma provider di accesso crittografico con licenza (5722 AC3)
• Digital Certificate Manager (Opzione 34 di OS/400)
• Server IBM HTTP per iSeries (5722 DG1)

Su iSeries

1. Caricare il certificato del server di provisioning dal computer del server di provisioning a iSeries. È possibile trovare il certificato in:

   C:\Programmi\CA\Identity Manager\Provisioning Server\Data\Tls\server\et2_cacert.pem
   

2. Accedere a DCM.

   Utilizzando un browser Web, accedere su http://<hostname>:2001. Quando viene richiesto, accedere come QSECOFR e fare clic sul collegamento di Digital Certificate Manager.

3. Lavorare con l'archivio certificati *SYSTEM.

   Fare clic sul pulsante Select a Certificate Store (Seleziona un archivio certificati) e selezionare l'archivio certificati *SYSTEM. Se questo archivio non esiste, creare un nuovo archivio chiamato *SYSTEM e immettere la password dell'archivio certificati.

4. Importare il certificato come Certificato CA mediante DCM.

   Fare clic su Manage Certificates (Gestisci certificati) e selezionare l'opzione Autorità di certificazione (CA) e immettere il nome file del certificato del server di provisioning. (Questa è la posizione in cui è stato caricato il certificato al passaggio 1). Immettere l'etichetta Server di provisioning per il certificato.

   L'importazione del certificato viene completata.

5. Dopo avere importato il certificato CA nel KeyStore *SYSTEM dell'endpoint, è necessario assicurarsi che il client di Directory IBM QIBM_GLD_DIRSRV_CLIENT possa accedere al KeyStore *SYSTEM. In caso contrario, la chiamata di inizializzazione SSL di PSA non verrà completata.
6. Configurare l'applicazione Directory Services Client in modo che ritenga attendibile il certificato del server di provisioning. A questo scopo, aprire Manage applications (Gestisci applicazioni), Define CA trust list (Definisci elenco attendibilità CA) e scegliere Directory Services Client.

   Il certificato del server di provisioning viene elencato qui se è stato importato correttamente al passaggio 4.

   Fare clic su Trusted (Attendibile) per il certificato del server di provisioning e fare clic su OK in fondo all'elenco.

7. Concedere l'autorizzazione di lettura PUBLIC ai file SSL e l'accesso in lettura all'archivio certificati *SYSTEM:

   (/QIBM/userdata/ICSS/Cert/Server/default.kdb)
   

   Concedere l'autorizzazione di lettura ed esecuzione alla cartella padre

   (/QIBM/userdata/ICCS/Cert/Server)
   

   Nota: l'adozione dell'autorità dell'utente PWDSYNCH non funziona nel file system /, pertanto è necessario concedere l'accesso a tutti gli utenti.