証明書バンドルを使用して、トラスト・チェーン全体に関するすべての関連情報を統合できます。
証明書バンドルに組み込むことができる情報のタイプは、デジタル署名を作成するために使用された証明書、トラスト・チェーン内の認証局の証明書、および証明書取り消しリスト (CRL) です。
始める前に
証明書バンドルに入れるすべての証明書取り消しリスト (CRL) は、認証局から取得します。
手順
証明書バンドルを作成するには、以下のステップを実行します。
- 証明書バンドルに含める CRL をファイルまたはデータ・セットに保管します。
- 証明書バンドル・オプション・ファイルを作成します。詳しくは、「z/OS Communications Server: IP システム管理者のコマンド」の『The z/OS® UNIX certbundle command options file』を参照してください。
- 作成する各証明書バンドルごとに、CertBundleOptions ステートメントを定義します。
- KeyRing パラメーターを使用して、組み込む任意の証明書を含む鍵リングを識別します。
- CertificateChain パラメーターを使用して、組み込む任意の完全なトラスト・チェーン内で一番低い証明書のラベルを指定します (ルート CA を除く)。CertificateChain パラメーターは、最適な証明書のセットを含む証明書バンドルを生成します。
- CertificateLabel パラメーターを使用して、組み込む任意の個々の証明書のラベルを指定します。CertificateLabel
パラメーターは、チェーン全体よりも少ない証明書を組み込む必要がある場合にのみ使用します。
- CRLFile パラメーターを使用して、組み込む任意の CRL が含まれているファイルを識別します。
- BundleFile パラメーターを使用して、作成する証明書バンドル・ファイルの名前を識別します。
- certbundle を発行するユーザー ID に対して、証明書バンドル・オプション・ファイルで指定されている鍵リングに対する読み取りアクセスを付与します。鍵リングへのアクセスについて詳しくは、「z/OS Security Server RACF コマンド言語 解説書」を参照してください。
- certbundle コマンドを発行し、作成したばかりの証明書バンドル・オプション・ファイルを指定します。